メインコンテンツまでスキップ
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

FAQ : ONTAP 9 のイベント管理システムの概要

Views:
721
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

環境

ONTAP 9                

回答

EMS イベントメッセージとは何ですか?
EMS イベントは ONTAP 9 で発生したリソースの記録であり、デフォルトではイベント管理システムログに記録されます。EMS イベントメッセージには複数のコンポーネントがあり、これらは ONTAP イベントカタログで確認できます。

EMS イベントメッセージの詳細を検索する例:
ClusterA::> event catalog show -message-name monitor.volume.nearlyFull
     Message Name: monitor.volume.nearlyFull
         Severity: ALERT

概要: このメッセージは、 1 つ以上のファイルシステムがほぼいっぱいになったときに表示されます。通常は 95% 以上フルであることを示します。このイベントには、お客様へのグローバルなヘルスモニタリングメッセージが含まれます。スペース使用量 volume show-spaceはアクティブなファイルシステムのサイズに基づいて計算され、コマンドの「 Used 」フィールドの値から「 Snapshot Reserve 」フィールドの値を引いて算出されます。

対処方法 :ボリュームまたはアグリゲートのサイズを増やすか、データを削除するか Snapshot ( R )コピーを削除して、スペースを確保します。ボリュームのサイズを増やすvolume sizeには、「」コマンドを実行します。ボリュームの Snapshot コピー( R volume snapshot delete)を削除するには、コマンドを実行します。アグリゲートのサイズを増やすstorage aggregate add-disksには、「」コマンドを実行してディスクを追加します。アグリゲートの Snapshot ( R )コピーは、アグリゲートがいっぱいになると自動的に削除されます。
SNMP Trap Type: Built-in
Is Deprecated: false

 

特定のイベントの一意の特性は、メッセージ名です。この例では、メッセージ名は monitor.volume.nearlyFull です。また、重大度は「 alert 」で、イベントに関連付けられている SNMP トラップタイプは「 built-in 」です。
特定のイベントメッセージの重大度は、イベントに予想される影響を示します。重大度とその意味の説明を次に示します。

ClusterA::> event catalog show -severity ?
  EMERGENCY                   Disruption
  ALERT                       Single point of failure
  ERROR                       Degradation
  NOTICE                      Information
  INFORMATIONAL               Information
  DEBUG                       Debug information
SNMP トラップタイプについては [1]
、これまで ONTAP 9 ドキュメントセンターで ONTAP 9 より前のバージョンで説明されていた、 EMS イベントメッセージをメッセージ単位で送信先に個別に設定しました。
 
ClusterA::> event route show -message-name monitor.volume.nearlyFull -destinations ?
  allevents
  asup
  criticals
  pager
  traphost

 

最終的には、 EMS イベントメッセージのカタログが大きくなり、メッセージ単位での管理が難しくなり、 ONTAP 9 ではより新しいフィルタベースのルーティングイベントメッセージシステムが実装されました。  新しいシステムでは、ルールベースのイベントフィルタを使用して、イベント通知を使用してイベントフィルタをイベント送信先に関連付けることで、イベント送信先に配信するイベントを収集できます。  ONTAP 9 のインストールまたはアップグレード時に、イベントフィルタ、イベントの送信先、およびイベント通知の基本的な設定がデフォルトで実装されます。デフォルトの設定はイベント通知を削除することで無効にできますが、組み込みのイベントフィルタとイベント送信先は変更または削除できません(ただし、カスタマイズをさらに行うために、ユーザがカスタマイズ可能な新しいフィルタと送信先にコピーすることは可能です)。


ClusterA::*> system snmp traphost show
snmp-traphost   snmp        - (from "system snmp traphost")
--------------  ----------  ---------------------
Name            Type        Destination
ClusterA::*> event notification destination show
1    default-trap-events            snmp-traphost
---- ------------------------------  -----------------
ID   Filter Name                     Destinations
ClusterA::*> event notification show
9 entries were displayed.
            2       exclude   *                      *               *
            1        include   *                      *               EMERGENCY, ALERT, ERROR, NOTICE
no-info-debug-events
            3        exclude   *                      *               *
            2        include   callhome.*             *               ERROR
            1        include   *                      *               EMERGENCY, ALERT
important-events
            4        exclude   *                      *               *
                                                                     *
            3        include   *                      Standard, Built-in
            2        include   callhome.*             *               ERROR
           1        include   *                      *               EMERGENCY, ALERT
default-trap-events
----------- -------- --------- ---------------------- --------------- --------
            Position Type
Filter Name Rule     Rule      Message Name           SNMP Trap Type  Severity
ClusterA::*> event filter show
        -
組み込みのデスティネーション「 NMP トラップホスト」は、コマンド ' system snmp traphost add、または次の例のような URL で OnCommand システムマネージャを使用して設定したデフォルトトラップホストにリンクされます
: https : // sysmgr/sysmgr.html# snmp


 
1073980.png
ONTAP 9 EMS イベントフィルタの仕組み
EMS イベントメッセージが生成されるたびに、設定されているすべての EMS イベントフィルタと比較されます。EMS イベントフィルタは、所定の EMS イベントメッセージを含めるか除外するルールのリストです。各メッセージが EMS イベントフィルタのルールと順番に比較され、ルールに一致するように指定すると以降のルール処理は中止されます。すべての EMS イベントフィルタの最後のルールはすべてのイベントメッセージに一致し、除外されます。そのため、 EMS イベントメッセージが以前のルールに一致しない場合、フィルタから除外されます。  そのため、デフォルトのルールのみが指定された新規に作成された EMS イベントフィルタは、 EMS イベントメッセージと一致しません。
次の例のようなカスタム EMS イベントフィルタを作成できます。
ClusterA::> event filter create -filter-name Custom_Filter
ClusterA::> event filter show -filter-name Custom_Filter
Filter Name Rule     Rule      Message Name           SNMP Trap Type  Severity
            Position Type
----------- -------- --------- ---------------------- --------------- --------
Custom_Filter
            1        exclude   *                      *               *

 

新しく作成されたこのイベントフィルタには、任意の条件(メッセージ名、 SNMP トラップタイプ、および重大度)に一致するイベントメッセージを除外するデフォルトルールが、位置 1 に自動的に含まれます。これにより、フィルタは不要な EMS イベントメッセージを収集しなくなります。たとえば、 EMS イベントメッセージの monitor.volume.nearlyFull場合は、新しいフィルタに収集するルールを作成します。

ClusterA::> event filter rule add -filter-name Custom_Filter -type include -message-name monitor.volume.nearlyFull
 
ClusterA::> event filter show -filter-name Custom_Filter                                                   Filter Name Rule     Rule      Message Name           SNMP Trap Type  Severity
            Position Type
----------- -------- --------- ---------------------- --------------- --------
Custom_Filter
            1        include   monitor.volume.nearlyFull
                                                      *               *
            2        exclude   *                      *               *
2 entries were displayed.

 

このルールは、「 monitor.volume.nearlyFull 」というメッセージ名のイベントを収集します。ただし、「 monitor.volume.* 」クエリに一致するすべての EMS イベントメッセージを収集する必要がある場合は、に適しています




            2        exclude   *                     *               *
            1        include   monitor.volume.*       *               *
Custom_Filter
----------- -------- --------- ---------------------- --------------- --------
            Position Type
Filter Name Rule     Rule      Message Name           SNMP Trap Type  Severity
ClusterA::> event filter show -filter-name Custom_Filter
ClusterA::> event filter rule add -filter-name Custom_Filter -type include -message-name monitor.volume.* 
ClusterA::> event filter rule delete -filter-name Custom_Filter -position 1
Now, our rule will collect all of these EMS Event Messages:
ClusterA::> event catalog show -message-name monitor.volume.*
Message                          Severity         SNMP Trap Type
-------------------------------- ---------------- -----------------
monitor.volume.full              DEBUG            Built-in
monitor.volume.nearlyFull        ALERT            Built-in
monitor.volume.ok                DEBUG            Built-in
3 entries were displayed.

 

ただし、テストでは収集が望ましくないと判断さ monitor.volume.okれました。そのため、イベントフィルタの前に処理するルールを挿入して、そのイベントメッセージを除外します。その方法を次に示します。

ClusterA::> event filter rule add -filter-name Custom_Filter -type exclude -message-name monitor.volume.ok -position 1
 
ClusterA::> event filter show -filter-name Custom_Filter                                                   Filter Name Rule     Rule      Message Name           SNMP Trap Type  Severity
            Position Type
----------- -------- --------- ---------------------- --------------- --------
Custom_Filter
            1        exclude   monitor.volume.ok      *               *
            2        include   monitor.volume.*       *               *
            3        exclude   *                      *               *
3 entries were displayed.

 

これらの例では EMS イベントのメッセージ名に注目していますが、 SNMP のテープタイプまたは重大度にもフィルタを適用することができます。したがって、たとえば、「重大度レベルのすべてのイベントを収集する」アラートフィルタを使用する場合は、その条件を使用してルールを追加できます。 

ClusterA::> event filter rule add -filter-name Custom_Filter -type include -severity ALERT
 
ClusterA::> event filter show -filter-name Custom_Filter
Filter Name Rule     Rule      Message Name           SNMP Trap Type  Severity
            Position Type
----------- -------- --------- ---------------------- --------------- --------
Custom_Filter
            1        exclude   monitor.volume.ok      *               *
            2        include   monitor.volume.*       *               *
            3        include   *                      *               ALERT
            4        exclude   *                      *              *
4 entries were displayed.

What does Error : command failed :このルールはイベントと一致しません。有効なルールを入力してください。平均?
例:
ClusterA::> event filter rule add -filter-name Inodes_Events -type include -message-name wafl.vol.runningOutOfInodes -severity ALERT

Error: command failed: This rule does not match any event. Enter a valid rule.
これは、 EMS メッセージの重大度タイプが正しくないことを意味します。

確認するには:
ClusterA::> event catalog show -message-name wafl.vol.runningOutOfInodes
Message Name: wafl.vol.runningOutOfInodes
Severity: ERROR

重大度は ERROR で、正しいコマンドはです
ClusterA::> event filter rule add -filter-name Inodes_Events -type include -message-name wafl.vol.runningOutOfInodes -severity ERROR


EMS イベントフィルタを管理するコマンドの詳細については、 ONTAP 9 ドキュメントセンターを参照してください 
 
ONTAP 9 EMS イベント通知の送信先の仕組み
ONTAP 9 のイベント通知の送信先は、 EMS イベントフィルタで収集された EMS イベントメッセージの配信を制御します。送信先としては、 E メールアドレス、 syslog サーバ、 SNMP トラップホスト、または RESTAPI サーバがあります。デフォルト snmp-traphostでは、 EMS イベント通知の送信先は組み込みの「」だけです。この設定は削除できません。また、「システム SNMP トラップホスト」にある SNMP トラップホストの設定にマッピングされます。この設定は個別に設定することも(まったく設定しないこともあります)できます。 
ClusterA::> event notification destination show
Name            Type        Destination
--------------  ----------  ---------------------
snmp-traphost   snmp        - (from "system snmp traphost")
ClusterA::> system snmp traphost show
        -

追加のカスタムイベントの送信先を作成するには、次のコマンドを実行します。

ClusterA::> event notification destination create
Usage:
   [-name]              Destination Name
   { [-email]   Email Destination
   | [-syslog]          Syslog Destination
   | [-rest-api-url]    REST API Server URL
    [[-certificate-authority] ]
                             Client Certificate Issuing CA
    [ -certificate-serial ] }
                              Client Certificate Serial Number
 
ClusterA::> event notification destination create Custom_Destination_syslog -syslog 1.2.3.4
 
ClusterA::> event notification destination create Custom_Destination_email -email user@domain.com
ClusterA::> event notification destination show
Name            Type        Destination
--------------  ----------  ---------------------
Custom_Destination_email
                email      user@domain.com (via "localhost" from "admin@localhost", configured in "event config")
Custom_Destination_syslog
                syslog      1.2.3.4
snmp-traphost   snmp        - (from "system snmp traphost")
3 entries were displayed.
 
syslog のカスタムの EMS イベント通知の送信先の IP アドレスは 1.2.3.4 です。イベント通知の送信先タイプ「 email 」には、イベント設定で構成されたメールサーバと送信元の E メールアドレスを示すかっこ内にメモがあります。
ClusterA::> event config show
                      Mail From:  admin@localhost
                    Mail Server:  localhost
                      Proxy URL:  -
                     Proxy User:  -
EMS イベント通知の仕組み
EMS イベント通知では、 EMS イベントフィルタで収集されたペイロードと EMS イベント通知の送信先で定義された配信ターゲットの間のマップを定義します。デフォルトでは、組み込みのデフォルトトラップイベントの EMS イベントフィルタを組み込みの SNMP トラップホストの EMS イベント通知送信先にマッピングするように事前に設定された EMS イベント通知が 1 つあります。必要に応じて、このデフォルトの EMS イベント通知を削除できます。
ClusterA::> event notification show
ID   Filter Name                     Destinations
---- ------------------------------  -----------------
1    default-trap-events             snmp-traphost
ClusterA::> event notification delete 1
ClusterA::> event notification show
This table is currently empty.

EMS イベント通知を作成するときは、 EMS イベントフィルタを 1 つだけ指定し、 EMS イベント通知の送信先を 1 つ以上指定します。EMS イベントメッセージは、タイプに応じて、 E メール、 SNMP 、 syslog イベントメッセージなどに応じて、各 EMS イベント通知送信先に適切な形式に自動的に変換されます 

ClusterA::vserver> event notification create -filter-name Custom_Filter -destination Custom_Destination_email
 
ClusterA::vserver> event notification create -filter-name Custom_Filter -destination Custom_Destination_syslog
ClusterA::vserver> event notification show
ID   Filter Name                     Destinations
---- ------------------------------  -----------------
1    Custom_Filter                   Custom_Destination_email
2    Custom_Filter                  Custom_Destination_syslog
2 entries were displayed.
EMS イベントフィルタは、複数の EMS イベント通知で参照できます。注意を払っていないと、冗長性が生じます。
ClusterA::vserver> event notification create -filter-name Custom_Filter -destination Custom_Destination_syslog,Custom_Destination_email
 
ClusterA::vserver> event notification show                                                                 ID   Filter Name                     Destinations
---- ------------------------------  -----------------
1    Custom_Filter                   Custom_Destination_email
2    Custom_Filter                   Custom_Destination_syslog
3    Custom_Filter                   Custom_Destination_syslog, Custom_Destination_email
3 entries were displayed.

EMS イベントフィルタを削除すると、対応する EMS イベント通知も削除されます。EMS イベント通知の送信先を削除すると、その通知は EMS イベント通知から自動的に削除されます(最後に定義された EMS イベントの送信先でもある場合、 EMS イベント通知も削除されます)。

ClusterA::> event notification destination delete -name Custom_Destination_syslog
 
Warning: The destination will be deleted from all notifications, if present. If
         this was the only destination in the notification, it will be deleted
         too.
Do you want to continue? {y|n}: y
 
ClusterA::> event filter delete -filter-name Custom_Filter
 
Warning: Deleting this filter will delete the notification as well.
Do you want to continue? {y|n}: y
 
ClusterA::> event filter delete -filter-name Custom_Filter
ClusterA::> event notification show
This table is currently empty.
 
  

追加情報

N/A

 

Scan to view the article on your device