Share via

Informazioni sulla correlazione degli avvisi

  • Articolo

Ultima modifica dell'argomento: 2015-03-09

Alla base del Management Pack di Monitoraggio di MicrosoftExchange Server 2010 c'è il motore di correlazione. Il Motore di correlazione è stato sviluppato per ridurre notevolmente il numero di avvisi generati dal Management Pack.

In Exchange 2007 Management Pack, gli avvisi venivano sempre generati quando lo stato di un monitoraggio passava da verde a rosso. Questo tipo di avviso viene disattivato in Exchange Server 2010 Management Pack. È infatti il Motore di correlazione a gestire gli avvisi, elaborando i dati dai monitoraggi del Management Pack e determinando se generare un avviso. Il Motore di correlazione aiuta l'amministratore che sta monitorando l'ambiente di Exchange a concentrarsi unicamente sugli avvisi che richiedono un intervento.

Architettura

Il Motore di correlazione è un servizio autonomo di Windows che utilizza l'interfaccia Operations Manager SDK per recuperare inizialmente il modello di integrità (o spazio istanza) e successivamente elaborare gli eventi di modifica dello stato. Conservando il modello di integrità in memoria ed elaborando gli eventi di modifica dello stato, il Motore di correlazione è in grado di determinare quando generare un avviso in base allo stato del sistema.

Motore di correlazione

Nel diagramma precedente è possibile vedere che diversi monitoraggi cambiano stato in risposta a un problema e i relativi eventi di modifica dello stato vengono inoltrati dall'agente al server di gestione radice. Una volta ricevuti dal server di gestione principale, questi eventi vengono elaborati dal motore di correlazione che potrebbe generare un avviso tramite l'interfaccia del Software Development Kit del server di gestione principale. Questo avviso viene visualizzato nella console di Operations Manager.

Classificazione degli avvisi

Gli avvisi del Management Pack di Monitoraggio di Exchange Server 2010 vengono classificati in tre categorie. Utilizzare le seguenti linee guida per comprendere la classificazione degli avvisi.

  • Key Health Indicator (KHI)   Gli indicatori KHI sono errori che riguardano l'integrità del servizio. La maggior parte degli avvisi rientra in questa categoria (ad esempio, "Un database della cassette postali è smontato.")

  • Non-Service Impacting (NSI)   I monitoraggi NSI rilevano i problemi che potrebbero riguardare solo alcuni utenti del sistema. Un esempio relativo a una situazione NSI si ha con due utenti con lo stesso indirizzo proxy. I messaggi di posta elettronica inviati a questo indirizzo verranno restituiti come non recapitabili ma il sistema di trasporto generale non viene neutralizzato.

  • Forensic   I monitoraggi Forensic sono utilizzati per registrare informazioni che potrebbero essere importanti durante la risoluzione di un problema, ma non indicano necessariamente un errore di sistema esistente. "Attività CPU >90% per 5 minuti" è un esempio relativo a un problema di analisi. Un processo potrebbe consumare in modo inappropriato dei cicli di CPU o il server potrebbe essersi riavviato e in procinto di riprendere le normali attività di sistema. Questi monitoraggi sono visibili nel campo Contesto avviso delle proprietà dell'avviso e in Esplora stati. Gli avvisi non sono generati per i monitoraggi di tipo Forensic.

Nota

Lo stato non viene aggiornato quando viene generato un singolo avviso di tipo Foresenic. Tuttavia, lo stato potrebbe venire aggiornato sulla base dell'aggregazione degli avvisi di monitoraggio di tipo Forensic correnti per ogni componente.

Gravità degli avvisi

Gli avvisi del Management Pack di Monitoraggio di Exchange Server 2010 vengono classificati anche in base alla gravità:

  • Errore   Gli errori indicano un problema grave che necessita di attenzione immediata.

  • Avviso   Gli avvisi indicano che esiste una condizione che potrebbe causare problemi in futuro.

  • Avvisi informativi Gli avvisi informativi non vengono generati dal Management Pack di Exchange 2010.

Fattori di correlazione

Le azioni intraprese dal Motore di correlazione sono determinate sulla base di diversi fattori, tra cui:

Monitoraggio degli eventi di modifica dello stato   I monitoraggi raccolgono informazioni diagnostiche relative all'ambiente di Exchange da origini quali messaggi del registro eventi, soglie dei contatori delle prestazioni ed eventi di output delle attività di PowerShell. I monitoraggi registrano gli eventi di modifica dello stato quando rilevano il verificarsi di un problema o la sua risoluzione (vale a dire il passaggio da rosso o a verde o da verde a rosso). I monitoraggi registrano le modifiche allo stato anche quando non è possibile contattare un server Exchange o quando un server Exchange diventa disponibile. Per finire, i monitoraggi registrano le modifiche di stato quando un server Exchange entra o esce dalla modalità di manutenzione. In Exchange 2007 Management Pack, gli avvisi venivano generati quando lo stato di un monitoraggio passava da verde a rosso. In Exchange 2010 Management Pack, gli avvisi non vengono generati automaticamente dal monitoraggio delle modifiche di stato. È il Motore di correlazione a determinare se generare un avviso. Exchange 2010 Management Pack include una regola di avviso per ogni monitoraggio. In questo modo è possibile monitorare il personale che utilizza la Console operatore per accedere alle proprietà di ogni monitoraggio in Management Pack. Anche quando il monitoraggio non genera avvisi autonomamente è possibile immettere in un determinato monitoraggio note specifiche per l'azienda utilizzando il campo Knowledge Base società.

Modello di integrità   La gerarchia di classi importata in Operations Manager da Exchange 2010 Management Pack include relazioni di classe che definiscono le dipendenze dei componenti nel sistema. La definizione di queste dipendenze aiuta Exchange 2010 Management Pack a comprendere l'integrità dell'organizzazione di Exchange. Ad esempio, se Exchange 2010 Management Pack rileva che Active Directory è offline, segnalerà anche che la messaggistica di Exchange non è completamente funzionante.

Intervalli   Il Motore di correlazione lavora con intervalli di 90 secondi. Quando gli eventi di modifica dello stato per più monitoraggi vengono generati contemporaneamente, il Motore di correlazione attende per vedere se qualcosa di potenzialmente attinente all'errore viene rilevato e determinare quindi in modo più efficace la causa principale del problema.

Algoritmo di correlazione

Panoramica del processo del Motore di correlazione

  1. Il Motore di correlazione si connette al servizio SDK di Operations Manager per scaricare la gerarchia del modello di integrità e lo stato dell'istanza. Questa operazione viene eseguita solo all'avvio del servizio o in caso di necessità (se gli errori la richiedono).

  2. Il Motore di correlazione invia una query a Operations Manager per ottenere gli ultimi eventi di modifica dello stato relativi alle entità in Exchange Management Pack.

  3. Se vengono rilevate nuove modifiche di stato NSI, il Motore di correlazione genera degli avvisi per queste.

  4. Il Motore di correlazione isola i dati per tutti i monitoraggio KHI nello stato rosso. Organizza inoltre i dati in raggruppamenti logici che mostrano ogni processo in relazione a quelli da cui dipende e a quelli che dipendono da esso. Questi raggruppamenti sono comunemente definiti "catene KHI". Ogni catena indica il punto di errore di una dipendenza, specificando se influenza uno o più processi dipendenti.

  5. Il Motore di correlazione genera un avviso per ogni catena KHI. Ogni avviso generato dal Motore di correlazione identifica la causa radice di ogni problema.

  6. Il Motore di correlazione attende 90 secondi e quindi ricomincia dal passaggio 2.

Ulteriori informazioni sul processo del Motore di correlazione

  • Se la catena di KHI include i monitoraggi degli errori e degli avvisi, l'avviso verrà generato sotto forma di errore, indipendentemente dalla classe del monitoraggio della causa principale. Ad esempio, se un processo di primo livello definisce un monitoraggio di errore per rilevare le cause degli errori e se è correlato a un monitoraggio di avviso in una dipendenza, l'avviso verrà generato sulla dipendenza. Sarà tuttavia contrassegnato come errore, anziché come avviso.

  • Non tutte le relazioni di classe vengono utilizzate per la correlazione degli avvisi. Per le relazioni specifiche utilizzate dal Motore di correlazione, vedere Appendice: Gerarchia delle classi più avanti in questa Guida.

  • La catena KHI con i monitoraggi di tipo Forensic è inclusa nel campo Contesto avviso disponibile nelle proprietà dell'avviso finale. L'amministratore può così rivedere i monitoraggi correlati all'avviso specificato. Gli avvisi generati dai monitoraggi delle dipendenze devono essere riesaminati per determinare l'errore specifico indicato dall'avviso.

Elementi interessati e non dalla correlazione degli avvisi

È importante capire quali sono gli elementi interessati dal Motore di correlazione e quali elementi non subiscono modifiche.

La funzionalità presentata di seguito è diversa in Exchange 2010 Management Pack a causa dell'aggiunta del Motore di correlazione:

  • I monitoraggi non avvisano automaticamente quando si verificano eventi di modifica dello stato. In questo modo il Motore di correlazione può determinare l'avviso migliore da generare.

  • Exchange 2010 Management Pack non genera avvisi che corrispondono all'integrità dell'ambiente Exchange quando il Motore di correlazione viene arrestato. Se il Motore di correlazione è arrestato viene generato un avviso generico per avvertire che il Motore di correlazione non è in funzione.

La funzionalità presentata di seguito non viene cambiata dall'aggiunta del Motore di correlazione:

  • Le sostituzioni funzionano ancora come previsto. È possibile modificare alcuni valori o disabilitare i monitoraggi.

  • I monitoraggi e gli oggetti nella modalità di manutenzione vengono ignorati dal Motore di correlazione. Non è richiesta alcuna considerazione poiché i monitoraggi non generano eventi di modifica dello stato.

  • Altri Management Pack non sono influenzati dalla presenza del Motore di correlazione.

Note operative

Il Motore di correlazione deve mantenere lo spazio dell'istanza del gruppo di gestione in memoria per determinare i monitoraggi correlati e gli avvisi. Di conseguenza, la richiesta di memoria per il Motore di correlazione è direttamente proporzionale al numero di server Exchange e database.

Il Motore di correlazione richiede circa 5 MB di memoria per ogni server Exchange monitorato. Alcuni fattori possono incrementare o ridurre il numero, ma esso rappresenta un buon punto di partenza per valutare l'impatto delle risorse sul server che ospita il servizio.

Ripristino automatico dei monitoraggi di eventi in Exchange 2010 Management Pack

La maggior parte dei monitoraggi di eventi in Exchange 2010 Management Pack viene automaticamente reimpostata dal Motore di correlazione. La reimpostazione automatica è stata aggiunta per evitare che eventuali problemi riscontrati vengano ignorati quando vengono nuovamente rilevati. Nella tabella di seguito sono elencati i monitoraggi di eventi che non vengono reimpostati automaticamente.

Nome del monitoraggio

Si è verificato un errore durante il caricamento delle informazioni di configurazione nell'agente di journaling.

Un errore sta bloccando un messaggio in una coda di recapito.

La configurazione del servizio di individuazione automatica non è sicura. Per risolvere questo problema, disattivare l'accesso anonimo per la directory virtuale di individuazione automatica.

Impossibile creare la directory del file di log in Exchange. I file di log non saranno generati fino alla risoluzione dell'errore. Il componente di origine e la causa dell'errore sono specificati nella descrizione dell'evento.

Impossibile creare un nuovo file di log in Exchange. I file di log non saranno generati fino alla risoluzione dell'errore. Il componente di origine e la causa dell'errore sono specificati nella descrizione dell'evento.

Sono stati trovati file di sola lettura nella directory di prelievo.

Il servizio Trasporto di Microsoft Exchange ha rilevato un errore di archiviazione critico e ha compiuto un'azione di ripristino automatico spostando il database.

Servizio distribuzione file: Impossibile leggere il descrittore di sicurezza da Active Directory per la rubrica offline.

Avviso di ExBPA.

Errore di ExBPA.

Impossibile spostare la cassetta postale.

Impossibile caricare la DLL DsProxy necessaria.

Impossibile inizializzare i contatori delle prestazioni per il proxy NSPI.

L'indice della copia del database locale è danneggiato. Ripetere il seeding del catalogo utilizzando il cmdlet Update-MailboxDatabaseCopy con il parametro -CatalogOnly.

Impossibile caricare i contatori delle prestazioni per il servizio Invio posta di Microsoft Exchange. L'oggetto prestazione correlato è denominato MSExchangeMail Submission.

Il server della topologia locale non appartiene ad alcun sito Active Directory.

Eccezione rilevata dal servizio Invio posta di Microsoft durante il tentativo di caricare le informazioni sulla topologia.

L'individuazione della topologia di Exchange non è in grado di trovare il server Exchange locale in Active Directory.

Un errore sta bloccando un messaggio nella coda di invio.

Una copia del database ha riscontrato un grave errore di rilevamento flush che potrebbe interessare tutte le copie del database.

Una copia del database attiva ha riscontrato un grave errore di rilevamento flush che potrebbe interessare tutte le copie del database.

Una copia del database locale ha riscontrato un grave errore di rilevamento flush che potrebbe interessare tutte le copie del database.

Il motore di database ha consumato il 99% delle risorse "albero B" (87048 utilizzate su un massimo di 87696) per il database.

Impossibile rimuovere i file di reseeding incrementale di una copia del database.

Impossibile rimuovere i file di replica continua per una copia del database.

Il processo di ripristino della pagina singola ha iniziato a risolvere un errore in una copia del database.

Il processo di ripristino della pagina singola ha risolto correttamente un errore in una copia del database.

Impossibile rimuovere un file di log per il database. Il file è in uso o il servizio non dispone di autorizzazioni sufficienti.

Il valore dell'intervallo di correlazione specificato è inferiore al minimo consentito.

Il valore della finestra temporale di correlazione specificata è inferiore al minimo consentito.