CA Spectrum - 10.3.2 - Japanese - Japan

syslog ファイル一致を処理するための CA Spectrum の設定

内容
casp1032jp
内容
CA Spectrum
 を設定して、iAgent、SystemEDGE および NSM エージェントから syslog ファイル一致を処理できます。
トラップ処理の概要
ログ ファイル エントリの内容に基づいてエージェントが生成する各トラップには、OID が設定されています。この OID は、エージェントの AlertMap ファイルのトラップ マッピングに基づいて
CA Spectrum
 のイベント 0x3e00009 を生成します。このイベントは、モデルでアサートされます。
各ログ ファイル エントリの一致行(最大 255 文字)とトラップを生成したログ ファイルの名前は、トラップ情報の一部として送信されます。
CA Spectrum
 は、トラップ データを解析し、ログ ファイル エントリの元のソースを判断します。このソースは、IP アドレス、ホスト名、
CA Spectrum
 モデル ハンドルまたはアプリケーション ログ ファイル名の場合があります。
IP アドレス、ホスト名またはモデル ハンドルを含むトラップの処理
IP アドレス、ホスト名、またはモデル ハンドルがログ ファイル エントリのソースとして抽出された場合、
CA Spectrum
 は、IP アドレス、ホスト名、またはモデル ハンドルと一致するデバイス モデルを見つけることができ、このモデル上でイベントをアサートすることができます。ログ ファイル エントリが「ログ ファイルの構文」で説明されている構文に準拠している場合、デバイス モデルでアサートされたイベントを有益なものにするために、ParseMap ファイルを作成し、このイベントおよびコンテンツをカスタマイズできます。
注: 
CA Spectrum
 には、多くの ParseMap ファイルが含まれています。常に作成する必要はありません。
ParseMap ファイルが作成されない場合、デバイス モデルにルーティングされたイベントは、エージェントのモードにアサートされたイベントと同じです。
syslog トラップの DNS ルックアップの無効化
ホスト名が syslog トラップの一部として受信される場合、CA Spectrum (10.2.3 まで)では、ホスト名を IP アドレスに解決するのに DNS ルックアップが使用され、関連付けられたモデルを検出します。または、CA Spectrum では /etc/host ファイル内の host エントリがチェックされます。
ご利用の環境で、DNS サーバにアクセスできない、またはホスト名の解決のために DNS サーバまたは /etc/hosts ファイルにアクセスしたくない場合は、「preventDNSlookup」属性(CA Spectrum 10.3 で導入)を使用して DNS ルックアップを停止できます。
「preventDNSlookup」属性を有効化すると、CA Spectrum では、DNS ルックアップの使用が停止され、syslog トラップのホスト名と一致するモデル名をデータベースから検索することでホスト名が解決されます。ホスト名と一致するモデル名が存在しない場合、ホスト名は解決されません。
「preventDNSlookup」属性を有効化するには、以下の手順に従います。
  1. [トポロジ]タブでランドスケープの VNM モデルを選択します。
  2. [コンポーネント詳細]-[属性]タブに移動します。
  3. 「preventDNSlookup」属性を検索し、ダブルクリックして編集します。
  4. 値を[Yes]に変更します。「preventDNSlookup」属性は、ランドスケープの選択された VNM に対して有効です。 その他のランドスケープの VNM モデルで「preventDNSlookup」属性を有効化する場合は、上記の手順のすべてを繰り返します。
    注:
     「preventDNSlookup」属性のデフォルト値は「No」です。値が「No」のとき、CA Spectrum はホスト名の解決に「DNSlookup」を使用します。
    注:
    同じホスト名のモデルが複数ある場合、ホスト名は最も小さい IP アドレスに解決され、トラップは最も小さい IP アドレスを持つモデルでアサートされます。
ParseMap ファイルの作成
ParseMap ファイルは、受信トラップで情報と関連付けられるイベントを指定します。さらに、ParseMap ファイルでは、ログ ファイル エントリのテキストの一部をイベント変数として使用するように指定することができます。イベント ルールと共にこれらの変数を使用し、イベントを処理できます。
注:
イベント処理およびイベント ルールについては、「イベント設定」を参照してください。
「ログ ファイルの構文」で説明したとおり、ログ ファイルのエントリには、以下のコンポーネントが含まれます。
<MessagePrefix>%<MessageHeader><Additional_Information>
CA Spectrum
 は、ログ ファイル エントリの
<MessageHeader>
 のテキストと一致する名前を持つ ParseMap ファイルを見つけることにより、トラップを処理する ParseMap ファイルを識別します。以下のログがログ ファイル エントリの例です。
2004-2-19 11:19:14 Local7.Info 172.19.38.36 Feb 19 09:14:50
%SNMP-I-SENT_TRAP, Sending notification linkUp to 192.168.32.44
エントリの
<MessageHeader>
 部分は SNMP-I-SENT_TRAP です。そのため、
CA Spectrum
 は SNMP-I-SENT_TRAP という名前の ParseMap ファイルを検索します。トラップを生成するために設定する一意の
<MessageHeader>
 で各ログ エントリの ParseMap ファイルを作成します。
注:
 多くの ParseMap ファイルは、
CA Spectrum
 で使用可能です。これらは、次のディレクトリで見つけることができます: 
<$SPECROOT>
/SS/CsVendor/ParseMaps
以下の手順に従います。
  1. 任意のテキスト エディタを使用して、新しいテキスト ファイルを作成します。
    テキスト ファイルを編集できる状態になりました。
  2. テキスト ファイルの最初の行で、生成するイベントの新しいイベント ファイル名を入力します。イベント ファイル名は Eventffff から始まり、xxxx で終了する必要があります。x は任意の有効な 16 進数です。
    たとえば、Eventffff1A2F および Eventffff1234 は有効なイベント ファイル名であり、Event012za8b は無効です。
  3. テキスト ファイルに新しい行を追加します(Enter キーを押します)。
  4. ログ ファイル エントリの
    <Additional_Information>
     部分としてこの行を使用します。このテキストの部分をイベント変数として指定できます。これは、イベント ルールでイベントを処理するために使用できます。
    データ タイプおよび整数を使用して、変数を指定します。有効なデータ タイプは、STRING、STRINGNOWS、INTEGER および IPADDRESS です。重要な情報については、「文字列データ タイプ使用ガイドライン」を参照してください。
    以下のイメージでは、前のセクションで示されたログ エントリに有効な ParseMap ファイルについて説明します。変数 1 は、Uplink を文字列として格納します。変数 2 は、192.168.32.44 を IP アドレスとして格納します。
    ParseMap file
  5. テキスト ファイルを
    <$SPECROOT>
    /SS/CsVendor/ParseMaps ディレクトリに保存します。このテキスト ファイルの名前は、ログ ファイル エントリの
    <MessageHeader>
     部分に一致する必要があります。この例で、ファイル名は SNMP-I-SENT_TRAP です。
    注:
     ファイル名にファイル拡張子を含めません。
    ParseMap ファイルの最初の 2 行のみが処理されます。後続の行に含まれる情報は処理されませんが、情報として含めることができます。
ParseMap ファイルの例
行の次のシーケンスは、
CA Spectrum
 で SYS-0-MOD_TEMPMAJORFAIL という名前で提供される ParseMap ファイルの例です。ParseMap ファイルは、
<$SPECROOT>
/SS/CsVendor/ParseMaps ディレクトリにあります。
Event04bd1522
Module {STRING 1} major temperature threshold exceeded
%SYS-0-MOD_TEMPMAJORFAIL: Module {STRING} major temperature threshold exceeded
これは一致した syslog ファイルを示します。
Jul 28 10:56:42 [10.253.9.11.2.45] 7931: *Jul 28 10:50:47.271: 
%SYS-0-MOD_TEMPMAJORFAIL: Module 100 major temperature threshold exceeded
これはエージェントがトラップを生成しても、IP アドレス 10.253.9.11 のモデルに生成されるイベント Event04bd1522 を発生させます。
文字列データ タイプ使用ガイドライン
このセクションは、ParseMap ファイルでの文字列データ タイプの使用に関する重要な情報を提供します。
有効な文字列データ タイプ
「ParseMap ファイルの作成」で示されたとおり、以下のデータ タイプが変数に使用できます。
  • STRING
    すべての文字列の文字が、次のリテラル、データ タイプまたは文字列の最後まで一致します。
  • STRINGNOWS
    すべての文字列の文字が、次のスペース、リテラル、データ タイプ、または文字列の最後まで一致します。
  • 整数
    任意の正の整数値に一致します。
  • IPADDRESS
    任意の有効な IPv4 アドレスと一致します。
STRING 変数の空白
空白は STRING 変数の定義に有効な文字であるため、常に認識可能なパターンを含む複数の STRING トークンを区切ります。
たとえば、以下の ParseMap は
有効な
エントリです。
{STRING 1}, {STRING 2}
{STRING 1} {IPADDRESS 2} {STRING 3}
{STRING 1} literal text {STRING 2}
{STRINGNOWS 1} {STRING 2}
ただし、結果の正規表現があいまいになるため、これらのエントリは使用しません。
{STRING 1}{STRING 2}
{STRING 2} {STRING 2}
イベント形式ファイルの作成
ParseMap ファイルで指定するイベント コードごとに、個別のイベント形式ファイルが必要です。イベントがアサートされる場合、イベント形式ファイルのテキストがイベント ログに表示されます。イベント形式ファイルを作成する場合、トラブルシュータがイベントに関して受信する情報のほとんどは、イベント メッセージ テキストから取得されることに注意してください
テキスト エディタを使用してイベント形式ファイルを作成し、次のディレクトリにファイルを配置します:
<$SPECROOT>
/SG-Support/CsEvFormat。
<xxxxxxxx>
が ParseMap ファイルのイベントに与えられるイベント コードである場合、イベント形式ファイルは Event
<xxxxxxxx>
 と命名される必要があります。たとえば、イベント コードが 0xffff1A2F のイベントがある場合、
CA Spectrum
 は Eventffff1A2F という名前のイベント形式ファイルを使用します。
イベント メッセージのテキストをわかりやすくするために、イベントの ParseMap ファイルで割り当てた変数およびすべてのイベント形式ファイル用の組み込み変数を使用できます。
注:
 イベント形式ファイルの作成の詳細については、「」を参照してください。
例: イベント形式ファイル
ParseMap ファイルによって生成されたイベントに対して、以下のイベント形式ファイルを使用します。
IP アドレス変数は、データ タイプ O (オクテット)、および ParseMap ファイルから割り当てられる変数 1 を使用して挿入されます。デバイス名の変数は、データ タイプ s (文字列)、および ParseMap ファイルから割り当てられる変数 2 を使用して挿入されます。組み込み変数 {d "%w- %d %m-, %Y - %T"}、{m}、{t}、および {e} は、イベントの日付、モデル名、モデル タイプ名、およびイベント ID を示します。
{d "%w- %d %m-, %Y - %T"} A device {m} of type {t} has reported a problem.
Its ip address is {S 1} and the device name is {S 2}. - (event [{e}])
イベントに基づいてアラームを生成
さらに、ParseMap ファイルで作成されたイベントの処理を指定することができます。イベントに基づいてアラームを生成するか、イベント ルールの一部としてイベントを使用することができます。これを行うには、このイベントがアサートされる可能性があり、各モデル タイプの EventDisp ファイルで適切な処理を指定できるすべてのモデル タイプを指定します。各モデル タイプに対して同じ方法で処理されるイベント タイプが必要な場合、グローバル EventDisp ファイルでイベント処理を指定できます。
アラームがイベントに基づいて作成されるように指定した場合、アラームがアサートされるときに OneClick コンソールに表示される想定される原因ファイルを作成します。
注:
 EventDisp および想定される原因ファイルの詳細については、「」を参照してください。
SpectroSERVER への変更の適用
新規または更新したイベント形式ファイルと ParseMap ファイルをアクティブ化するには、SpectroSERVER に変更を適用します。これは、イベント設定エディタに示された更新コマンドを使用するか、コマンド ライン インターフェースを使用するか、SpectroSERVER を停止して再起動することによって実行できます。これらの各方法に関する詳細については、「」を参照してください。
エージェント モデルのイベント転送の有効化
リモート ランドスケープ上のモデルにイベントを転送するようにエージェントのモデルを設定できます。モデルの SBG_AlertForwardingEnabled (0x3dc000c)属性を TRUE に設定します。

Content feedback and comments