アラートの相互関係について

トピックの最終更新日: 2015-03-09

MicrosoftExchange Server 2010 監視管理パックの中核をなすのは相関エンジンです。 相関エンジンは、管理パックによって通知されるアラートの数を大幅に減らす目的で開発されました。

Exchange 2007 管理パックでは、モニターの状態が緑から赤に変化したときにはいつでもアラートが通知されました。 この種のアラート通知は、Exchange Server 2010 管理パックではオフになっています。 代わりに、相関エンジンがアラート通知を処理します。 つまり、管理パックのモニターからのデータを処理して、アラートを通知するかどうかを判断します。 相関エンジンにより、Exchange 環境を監視する管理者は、対応を必要とするアラートのみに注意を集中できます。

アーキテクチャ

相関エンジンは、スタンドアロンの Windows サービスで、Operations Manager SDK インターフェイスを使用して、最初に状態モデル (つまりインスタンス スペース) を取得し、その後、状態変更イベントを処理します。メモリに状態モデルを維持し、状態変更イベントを処理することにより、相関エンジンは、システムの状態に基づいて、アラートを通知するタイミングを決定できます。

この図では、問題に反応していくつかのモニターの状態が変化すると、エージェントは対応する状態変更イベントをルート管理サーバー (RMS) に転送します。 RMS によって受信されると、これらのイベントは相関エンジンによって処理されます。相関エンジンは、RMS Software Development Kit (SDK) インターフェイスを経由してアラートを通知することができます。 このアラートは、Operations Manager コンソールに表示されます。

アラートの分類

Exchange Server 2010 監視管理パックのアラートは、3 つのカテゴリに分類されます。これらのアラートの分類については、次のガイドラインに従ってください。

• 主要状態インジケーター (KHI)   KHI はサービスの状態に影響を与える問題です。ほとんどのアラートがこのカテゴリに属します。たとえば、"メールボックス データベースがマウント解除されている" などの場合です。

• サービス無影響 (NSI)   サービス無影響モニターでは、システムのすべてのユーザーではなく、一部のユーザーに影響を与える可能性がある問題を検出します。NSI の状況を示す適切な例として、同じプロキシ アドレスを持つ 2 人のユーザーがいる場合が挙げられます。このアドレスへのメールは、配信不能として返されますが、その他の点ではトランスポート システム全体に問題は発生していません。

• フォレンシック   フォレンシック モニターは、問題のトラブルシューティング時に関係する可能性がある情報を記録するために使用されます。ただし、必ずしもシステム障害が深刻であることや、システム障害が存在することを示すものではありません。フォレンシック問題の例としては、"CPU の動作が 5 分間にわたり 90% を越えている" ことなどが挙げられます。不適切に CPU サイクルを消費しているプロセスがある可能性や、サーバーが再起動されて通常のシステムの動作に戻ろうとしている可能性などを示します。これらのモニターは、アラートのプロパティの [アラートのコンテキスト] フィールドと正常性エクスプローラーに表示されます。フォレンシック モニターに対してアラートは通知されません。

[!メモ] 1 つのフォレンシック モニター アラートが通知されたときに状態が更新されることはありません。ただし、各コンポーネントに対する現在のフォレンシック モニターのアラートの集約に基づいて、状態が更新される可能性はあります。

アラートの重要度

Exchange Server 2010 監視管理パックのアラートは、次のようにアラートの重要度別にも分類されます。

• エラー アラート   エラー アラートは、すぐに対応する必要がある重大な問題を示します。

• 警告アラート   警告アラートは、将来的に問題を引き起こす可能性のある状態を示します。

• 情報アラート 情報アラートは、Exchange 2010 管理パックでは通知されません。

相関の要因

相関エンジンによって実行されるアクションは、以下の要因を含め、いくつかの要因に基づいて決定されます。

モニターの状態変更イベント   モニターは、イベント ログ メッセージ、パフォーマンス カウンターのしきい値、および PowerShell タスク出力イベントなどのソースからの診断情報を、Exchange 環境から収集します。 モニターは、問題が発生したかクリアされた (つまり、緑から赤または赤から緑に変化した) ことを検出すると状態変更イベントを登録します。 またモニターは、Exchange サーバーと通信できない場合、または Exchange サーバーと通信可能になった場合にも状態変更を登録します。 さらにモニターは、Exchange サーバーが保守モードになったか、または保守モードから戻った場合にも、状態変更を登録します。 Exchange 2007 管理パックでは、モニターの状態が緑から赤に変わったときにアラートが通知されました。 Exchange 2010 管理パックでは、モニター状態が変化しても自動的にアラートが通知されることはありません。 アラートを通知するかどうかは、相関エンジンが決定します。 Exchange 2010 管理パックには、すべてのモニターのアラート ルールが組み込まれています。 これにより監視担当者は、Operations コンソールを使用して管理パック内のすべてのモニターのプロパティにアクセスできます。 所定のモニターがそれ自体のアラートを生成しない場合でも、そのモニターに関する組織固有のメモを [組織ナレッジ] フィールドに入力できます。

正常性モデル   Exchange 2010 管理パックによって Operations Manager にインポートされたクラス階層には、システム全体にわたるコンポーネントの依存関係を定義したクラス関係が含まれます。 これらの依存関係を定義することにより、Exchange 2010 管理パックでは、Exchange 組織の正常性を把握することができます。 たとえば Exchange 2010 管理パックは、Active Directory がオフラインであると認識すると、Exchange メッセージングが完全には機能していないこともレポートします。

タイミング 相関エンジンは 90 秒間隔で動作します。 複数のモニターで状態変更イベントが同時に発生すると、相関エンジンは待機して、障害に関連している可能性がある他のイベントが検出されないかどうかを判別します。これにより相関エンジンでは、根本原因の判断を最も効果的に行うことができます。

相関アルゴリズム

相関エンジン プロセスの概要

1. 相関エンジンは、Operations Manager SDK サービスに接続して正常性モデル階層とインスタンス状態をダウンロードします。 この動作は、サービスの起動時、またはエラーが発生して必要に迫られたときに行われます。

2. 相関エンジンは、Exchange 管理パック内のエンティティに関連する最新の状態変更イベントがないかどうかについて Operations Manager にクエリします。

3. 新しいサービス無影響状態の変更が検出されると、相関エンジンはそれらの状態についてのアラートを通知します。

4. 相関エンジンは、赤状態になっているすべての主要正常性インジケーター モニターのデータを隔離します。 相関エンジンは、各プロセスをプロセスが依存するデータとプロセスに依存するデータの関係で示す論理的なグループに、それらのデータを分けます。 このようなグループ化を、一般に "主要正常性インジケーター チェーン" と呼んでいます。 各チェーンは、依存関係に障害が発生し、1 つ以上の依存プロセスに影響を与えている場所を示します。

5. 相関エンジンは、主要正常性インジケーター チェーンごとにアラートを通知します。 相関エンジンによって通知される各アラートは、各問題の根本原因を示します。

6. 相関エンジンは、90 秒待機した後、手順 2 から再開します。

相関エンジン プロセスに関する追加情報

• 主要正常性インジケーターのチェーンにエラー モニターと警告モニターの両方が含まれている場合は、根本原因モニターのクラスに関係なく、アラートがエラーとして通知されます。 たとえば、最上位のプロセスで障害のケースを取得するエラー モニターを定義する場合に、そのエラー モニターが依存関係の警告モニターと相関していると、アラートがその依存関係に対して通知されます。 しかし、警告ではなくエラーとしてのマークが付きます。

• すべてのクラスの関係がアラートの相関関係に使用されるわけではありません。 相関エンジンで使用する特定の関係については、このガイドの「付録:クラス階層」を参照してください。

• すべてのフォレンシック モニターを含む主要正常性インジケーター チェーンは、最後のアラートのプロパティに表示される [アラートのコンテキスト] フィールドに表示されます。 これにより管理者は、通知されたアラートと相関するモニターを確認することができます。 依存関係モニターから通知されるアラートについては、必ず内容を読み、アラートに示されている特定の障害について判断する必要があります。

アラートの相関が影響する場合としない場合

相関エンジンが影響する場合と影響しない場合を理解することは重要です。

次の機能は、相関エンジンが追加されたことにより、Exchange 2010 管理パックにおいて異なっています。

• モニターは、状態変更イベントが発生しても自動的にアラートを通知しません。 これにより、通知すべき最善のアラートを相関エンジンに判別させます。

• Exchange 2010 管理パックは、相関エンジンが停止している場合、Exchange 環境の正常性に対応するアラートを通知しません。 相関エンジンが停止すると、相関エンジンが動作していないことを示す一般的なアラートが通知されます。

次の機能は、相関エンジンが追加されても変更ありません。

• 上書きは期待どおりに処理されます。 これまでと同様、特定の値を変更したり、モニターを無効にしたりすることができます。

• 保守モードのモニターおよびオブジェクトは、相関エンジンによってスキップされます。 モニターが状態変更イベントを通知することはないため、特別考慮する必要はありません。

• 相関エンジンが存在しても、他の管理パックは影響を受けません。

操作に関する注意

相関エンジンは、関連するモニターおよびアラートを判別するため、メモリ内に管理グループのインスタンス空間を保持する必要があります。 したがって、Exchange サーバーやデータベースの数が多くなるほど、相関エンジンで必要になるメモリ サイズも大きくなります。

相関エンジンには、監視対象の Exchange サーバーあたりおよそ 5 MB のメモリが必要です。 さまざまな要因によってこの数値は増減しますが、サービスをホストしているサーバーへのリソースの影響を理解する上で、この数値は適切な基準です。

Exchange 2010 管理パックのイベント モニターの自動リセット

Exchange 2010 管理パックにおいて、ほとんどのイベント モニターは相関エンジンによって自動的にリセットされます。 問題が次に発生したときに確実に対応できるようにするため、これらのモニターに自動リセットが追加されました。 次の表に、自動的にリセットされないイベント モニターの一覧を示します。