tivoli update ws2008 netcool

© 2008 IBM Corporation2008年 7月18日

Tivoli Automation & ISM Update WorkshopTEC技術者のためのNetcool/OMNIbus入門編

Tivoli Automation GroupSystems Management, ISE

畑大作 [email protected]

© 2008 IBM CorporationTivoli Automation & ISM Update Workshop2

目次

� Netcool製品概要製品概要製品概要製品概要

� TEC技術者のための技術者のための技術者のための技術者のためのOMNIbus機能概要機能概要機能概要機能概要

– OMNIbus導入・構成編

– サイジング編

– コンソール編

– Probe編

– TECイベント連携編

– Automation編

– メンテナンス編


Disclaimer

� 当資料で提供する技術情報は、各製品の出荷前コードに基づくものを含みます。

� この資料は日本アイ・ビー・エム株式会社ならびに日本アイ・ビー・エムシステムズ・エンジニアリング株式会社の正式なレビューを受けておりません

� 当資料は、資料内で説明されている製品の仕様を保証するものではありません。

� 資料の内容には正確を期するよう注意しておりますが、この資料の内容は2008年7月現在の情報であり、製品の新しいリリース、パッチなどによって動作、仕様が変わる可能性があるのでご注意下さい

� 今後国内で提供されるリリース情報は、対応する発表レターなどでご確認ください。

更新履歴作成 : 2008年7月18日


登録商標

�以下は、IBM Corporationの米国およびその他の国における商標です。

AIX, AS/400, BLADECENTER, BLUEGENE, DB2, E-BUSINESS, IBM, ISERIES, MICRO-PARTITIONING, TIVOLI, Lotus, Lotus Domino, Lotus iNotes, Lotus Notes, Lotus Sametime, OS/390, PSERIES, RATIONAL, RS/6000, S/390, SECUREWAY, WEBSPHERE, XSERIES, Z/OS, ZSERIES

�“Java” およびすべてのJava関連の商標およびロゴは Sun Microsystems, Inc.の米国およびその他の国における商標です。

�“Microsoft” “Windows” “Windows NT” および “Windows”ロゴは Microsoft Corporationの米国およびその他の国における商標です。

�“Pentium” “MMX” “Intel” “Intel Inside (ロゴ)” は Intel Corporationの米国およびその他の国における商標です。

�“UNIX”はThe Open Groupの米国およびその他の国における登録商標です。

�他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。便宜上記載する場合がありますが、それら権利を侵害する意志や目的はありません。


はじめに

– 目的目的目的目的• TEC技術者がNetcool/OMNIbusの製品概要、機能を理解し、TECとNetcool/OMNIbusとの

機能の違いを把握すること

– 効果効果効果効果• TECにて実現している監視システムと同様のものをNetcool/OMNIbusにて実現する場合のイ

メージをつかむことができる

– 注意事項注意事項注意事項注意事項• 当資料はTEC技術者の理解を助ける目的でなるべくTECとの比較対比を行うようにしていま

すが、あくまで担当者の主観に基づくものとご了承ください

• ISEでのテスト結果を含みますが、今回は稼動検証を目的としたものではないため、仕様を保

証する結果とはなっておりません。あくまで参考情報としてご覧いただき、計画・実装に際してはTivoliブランドにご相談いただくようお願いいたします


Netcool/OMNIbus概要


Netcoolとは

� IBMが買収した米が買収した米が買収した米が買収した米Micromuse社の製品群社の製品群社の製品群社の製品群

� Micromuse, Inc. (MUSE) 概要概要概要概要

– 1989年英国ロンドンにて創立

– 1994年英国大手通信会社様向け製品

– Netcool/OMNIbusリリース

– Worldwide 従業員数: 650+名

– 本社––San Francisco, CA 開発部門––主にLondon、NY、Perth

– Worldwide で約1900社を超える顧客に販売

– Fortune 誌Fortune 500 トップ２０社中１２社にて採用

– 世界売上げベーストップ２０社の大規模通信会社のインフラを支える

– Worldwide でサービスアシュアランス・ソリューションの経験を持つ直販

セールス及びパートナ

– Tivoli ISM(IBM Service Management)製品の中核をなす戦略的な製品群


Netcoolアーキテクチャー

Gateway(OMNIbus family)

GatewayGateway(OMNIbus family)(OMNIbus family)

Netcool/OMNIbusNetcool/OMNIbusNetcool/OMNIbus Netcool/ImpactNetcool/ImpactNetcool/Impact

Probe

(OMNIbus family)

ProbeProbe

(OMNIbus family)(OMNIbus family)

TBSM（（（（Netcool/RAD））））

TBSMTBSM（（（（（（（（Netcool/RADNetcool/RAD））））））））

Netcool/WebTopNetcool/WebTopNetcool/WebTop

WebWebブラウザベースブラウザベースブラウザベースブラウザベースブラウザベースブラウザベースブラウザベースブラウザベース

ビジネスサービスビジネスサービスビジネスサービスビジネスサービスビジネスサービスビジネスサービスビジネスサービスビジネスサービス可視化可視化可視化可視化可視化可視化可視化可視化

ビジネス・サービビジネス・サービビジネス・サービビジネス・サービビジネス・サービビジネス・サービビジネス・サービビジネス・サービス・マップによる稼ス・マップによる稼ス・マップによる稼ス・マップによる稼ス・マップによる稼ス・マップによる稼ス・マップによる稼ス・マップによる稼働監視や働監視や働監視や働監視や働監視や働監視や働監視や働監視やSLASLA監視監視監視監視監視監視監視監視

EventViewEventView

BusinessBusiness

DependencyDependency

ViewView

StatusStatus

IndicatorsIndicators

Status Sources:Status Sources:

•• Netcool/OMNIbusNetcool/OMNIbus

•• Any RDBMSAny RDBMS

コア・コンポーネントコア・コンポーネントコア・コンポーネントコア・コンポーネントコア・コンポーネントコア・コンポーネントコア・コンポーネントコア・コンポーネント発生・復旧管理発生・復旧管理発生・復旧管理発生・復旧管理発生・復旧管理発生・復旧管理発生・復旧管理発生・復旧管理メッセージ加工メッセージ加工メッセージ加工メッセージ加工メッセージ加工メッセージ加工メッセージ加工メッセージ加工

アラーム通知保存アラーム通知保存アラーム通知保存アラーム通知保存アラーム通知保存アラーム通知保存アラーム通知保存アラーム通知保存

外部データとの連携外部データとの連携外部データとの連携外部データとの連携外部データとの連携外部データとの連携外部データとの連携外部データとの連携トラブル・チケットトラブル・チケットトラブル・チケットトラブル・チケットトラブル・チケットトラブル・チケットトラブル・チケットトラブル・チケットRDBMSRDBMS等等等等等等等等

影響範囲特定影響範囲特定影響範囲特定影響範囲特定影響範囲特定影響範囲特定影響範囲特定影響範囲特定（サービス・顧客）（サービス・顧客）（サービス・顧客）（サービス・顧客）（サービス・顧客）（サービス・顧客）（サービス・顧客）（サービス・顧客）

他システムとの連携他システムとの連携他システムとの連携他システムとの連携他システムとの連携他システムとの連携他システムとの連携他システムとの連携データ関連付けデータ関連付けデータ関連付けデータ関連付けデータ関連付けデータ関連付けデータ関連付けデータ関連付け

Analyze & AutomateAnalyze & Automate

CollectCollect

ConsolidateConsolidate

InformInform

CRMCRM

CMDBCMDB

TroubleTrouble

TicketTicket

ElementsElements

NMS/EMSNMS/EMS

CCMDBCCMDB

（（（（（（（（TADDM)TADDM)

ProbeProbe

OMNIbus familyOMNIbus family


Netcoolコンポーネント

Security/Firewalls

Systems & Applications(Mainframe, Unix, Windows)

Other Management Sys.(SWG, HP OV, BMC, Mercury…)

Voice Network(PBX, IVR, Class 5 switches)

End User Experience and

Transaction Monitoring

Voice Over IP(Cisco, Nortel, Avaya, Siemens)

Non-IT Resources(HVAC, UPS’s, Physical Security)

Tivoli Business Service Manager

Provisioning / Inventory

Customer Care / SLA Management

Databases / Directories

Messaging / Web Services

Put events in a business context

Data Network(SNMP, Syslog)

Trouble Ticketing

(Remedy, Peregrine, Vantive, Clarify)

RDBMS

(Oracle, MS-SQL, DB2, MySQL, Informix, Sybase)

Event Enrichment & Bi-directional Information Integration

Netcool / OMNIbusDeduplicationCorrelationAutomation

FailOver ObjectServer

SNMP Manager

Network Events

Topology

OTHER

TECBi-DirectionalGateway

ITM MonitoringEvents

TSOMSecurityEvents

zNetView

NetView

Network Event

CCMDB

Event Enrichment

Probes: Collect, Correlate Events

TEP/TIP

Netcool / DesktopTM

Netcool / WebtopTM

Visualisation

Netcool/Impact & Gateways

Netcool / ReporterTM


Netcool製品リスト- PA製品製品製品製品 (April 24 Announcement, May 25 eGA, pGA)

⑪ IBM Tivoli Netcool/PROVISO 4.4

- 非非非非PA製品製品製品製品

N/A

IBM Tivoli Business Systems Manager

ITM/TDW

TEC Console

N/A

N/A

Tivoli Netview

Tivoli Netview

N/A

Tivoli Enterprise Console

機能的に該当する従来のTivoli製品

3.7IBM Tivoli Network Manager Entry Edition ④

5.6IBM Tivoli Network Manager Transmission Edition (旧称Precision for TN)

⑤

4.0IBM Tivoli Netcool/Impact ⑥

2.1IBM Tivoli Netcool/Webtop⑦

2.1IBM Tivoli Netcool/Reporter ⑧

4.1IBM Tivoli Business Service Manager(旧称RAD)

⑨

6.0.1IBM Tivoli Composite Application Manager for Internet Service Monitoring

⑩

3.7IBM Tivoli Network Manager IP Edition(旧称Precision IP)

③

7.2IBM Tivoli Netcool/OMNIbus Gateways②

7.2IBM Tivoli Netcool/OMNIbus (including OMNIbus Probes)

①

Ver.Netcool製品名称


TEC-Netcool/OMNIbus構成要素の比較

Event Sources

Tivoli/IBM Products

ITM

OMNIbus Probe(s)

OMNIbus Probe(s)

Event VisualizationEvent Processing

TEC Server (TME)

TEC Gateway(s)

(TME)

TEC Java Console(Event Groups)

Prolog RulesAutomation (Actions)Integration with 3rd partiesEvent associationEvent ManagementFact filesDefault mapping

State Correlation RulesEvent suppression and summarization

CLIs

EIF

TEC Event Datastore

(RDBMS)

WAS Appl Server

TEC Web Console(Browser)

TDW 1.3

ETLs

Event MappingLocal Filters

TEC Event

Sources

CLIs

EIF

Event Sources

Automation Rules (SQL)Filter, deduplication, Lookup filesEvent Management

Event MappingLookup filesFilters

In Memory Event

datastore

WebTop

RDBMS

Archive

ITNM

Topology model based correlationDiscovery &

Monitors

OMNIbusServer

Web Console(Browser)

Native Console

TEC Adapter(s)

TECTEC

OMNIbusOMNIbus

Netview

OMNIbus Gateway(s)

(w)postzmsg

fmtfmt

barocbaroc rlsrls

programprogram

automationautomation

ITM

EIFsyslog経由経由経由経由

rulesetruleset

他製品他製品

イベント処理ルールイベント処理ルールイベント処理ルールイベント処理ルール

NW監視設定監視設定監視設定監視設定

ログ監視設定ログ監視設定ログ監視設定ログ監視設定

作り込み部分作り込み部分作り込み部分作り込み部分View定義View定義

View定義View定義

configconfig

rulesrulespropsprops


TEC-Netcool/OMNIbusコンポーネント比較

Probe（Syslog, Genric Log File, etc....)TEC Logfile Adapter

ObjectServer上のDBにアクセスするためのnco_sql

コマンド

FrameworkベースのCLI

ObjectServerのメモリー上で稼動するSQLデータベー

ス

イベントデータベース（RDBMS）

ConductorおよびAdministrator（nco_config）コンソー

ル

Javaイベントコンソール

WebTopUI ServerおよびWebSphere/TEC Console Server

Object ServerTEC Event Server

同様のコンポーネントはなし。必要に応じて階層化構成のObject Serverを構築する。

Framework（TEC Gateway）

ProbeおよびMonitorによるDB更新などの実行は、IDUCプロトコルを使用したObject Serverとの通信を

通じて行われる。

Framework（RIMオブジェクト）

ObjectServer Databaseにユーザー権限を定義し管

理

Framework（Authorization）

ObjectServer Databaseにてユーザー/グループ情報

を管理

Framework（Authentication）

Netcool/OMNIbusTivoli Enterprise Console


TEC技術者のためのNetcool/OMNIbus

機能概要


OMNIbus導入・構成編


OMNIbus検証環境

TECTECTECTECサーバサーバサーバサーバ

OMNIbusOMNIbusOMNIbusOMNIbusサーバサーバサーバサーバ

JRE1.5

Memory:2GB/Disk：20GB

Windows2003 Server

RHEL4

Security Manager 1.3

OMNIbus 7.2

WebTop

Probe for Tivoli EIF

postemsg

AIX5.2

Tivoli Enterprise Console3.9 FP07

Gateway for Tivoli EIF

License Server

VMWare Workstation

Syslog Probe

Generic Logfile Probe

Generic Logfile Probe

Desktop PCDesktop PCDesktop PCDesktop PC

WindowsXP

OMNIbus Desktopクライアント

AENクライアント

Web Browser

Process Agent

Process Agent


postemsg

Security Manager WebTop

OMNIbus ObjectServer

SyslogProbe

Gateway for Tivoli EIF

TEC EventServer

Web Browser

※※※※License ServerLicense ServerLicense ServerLicense Serverは、は、は、は、OMNIbus7.2OMNIbus7.2OMNIbus7.2OMNIbus7.2では不要では不要では不要では不要ただしただしただしただしProbeProbeProbeProbeによってによってによってによってLicenseServerLicenseServerLicenseServerLicenseServerが必要なものもあるが必要なものもあるが必要なものもあるが必要なものもある

OMNIbusコンポーネント間接続図

Probe for Tivoli EIF

License Server

GenericLogfile Probe

Desktop


OMNIbus環境変数OMNIbusでは以下の環境変数を設定する必要があるでは以下の環境変数を設定する必要があるでは以下の環境変数を設定する必要があるでは以下の環境変数を設定する必要がある

� $NCHOME – Netcoolホームホームホームホームデフォルト： /opt/netcool

� $OMNIHOME – OMNIbusホームホームホームホームデフォルト： /opt/netcool/omnibus

� $NETCOOL_LICENSE_FILE – ポート番号＠ポート番号＠ポート番号＠ポート番号＠LicenseServerホスト名ホスト名ホスト名ホスト名デフォルト： 27000@<hostname>

複数のLicenseServerはセミコロンで区切って記述：

27000@<host1>:27000@<host2>:27000@<host3>

� $NCLICENSE – LicenseServerホームホームホームホーム(ライセンスサーバーを使用する場合)

デフォルト： /opt/netcool/license

※Windows環境では製品導入時に自動的にOS上に設定が行われる

�Tivoli Frameworkにおけるsetup_env.sh相当のスク

リプトは用意されない

�Tivoli Frameworkにおけるsetup_env.sh相当のスク

リプトは用意されない


ホスト: bbb

DESKTOP

PROBE

OBJECTSERVER

$NETCOOL_LICENSE_FILE=27000@aaa

FEATURE nco_admin

FEATURE nco_nco

FEATURE nco_event

...

ライセンスファイル



ホスト: aaa

licenseserver

License Server（ライセンス・サーバー）

� 独立したコンポーネントとして導入

� ライセンスはライセンスファイルに保持されたものを使用

� クライアントは以下の環境変数にて使用するライセンスサーバーへアクセス$NETCOOL_LICENSE_FILE

� OMNIbus 7.2からは基本的にライセンスサーバーは不要

– Probeは種類によってライセンスサーバーが必要なものがある（例：GLF Probeなど)

– ライセンスサーバーが必要か否かは導入してみないと判断できない

� ライセンスファイル

– $NCLICENSE/etc/name.licにライセンスをコピー

– “put_hostname_here”をライセンスサーバーのホスト名に編集し起動

ホスト: ccc

ホスト: ddd


Impact

TBSMSecurityDB

Securitymanager

USERLOGIN

Security Manager（セキュリティ・マネージャー）

� セキュリティ・マネージャーはNetcool製品群における共通

の認証機能を提供

– 現在はImpact/TBSM/WebTopが使用

� ドメイン、ロール、グループ、ユーザ単位にて権限を設定

� 外部の認証を使用することも可能

– NIS、LDAP、OMNIbus/ObjectServer

WebTop


HOST: AAA

HOST: BBB

HOST: CCC

DESKTOP

PROBE

OBJECTSERVER

NCOMS BBB 4100

interfaces file

NCOMS BBB 4100

interfaces file

nco_event -server NCOMS

nco_objserv -name NCOMS

nco_p_syslog -server NCOMS

NCOMS BBB 4100

interfaces file

OMNIbusのコンポーネント間通信

� OMNIbusのコンポーネント間ではIDUCプロトコルを使用して通信

� IDUCはインターフェイスファイルを“ア

ドレスブック”として使用

� クライアント（Probe、Gateway、Desktopなど）はインターフェイスファイルを参照し、ObjectServer名とホスト名/ポート番号を識別

�Tivoli Frameworkのように内部DBにホスト名やアド

レスを保持しない

�導入後のホスト名/IPアドレス変更に柔軟に対応

�Tivoli Frameworkのように内部DBにホスト名やアド

レスを保持しない

�導入後のホスト名/IPアドレス変更に柔軟に対応


Object Server データベース（１/3）

� デフォルトではObject Serverには以下のデータベースが作成される

– alerts：アラートデータおよびイベントリスト構成

– catalog：システムカタログ（Object Serverメタデータを含む）

• 参照は可能だが変更は不可

– custom：ユーザーによって追加されるテーブルのためのデータベース

– tools：ユーザーツール

– persist：triggers, proceduresおよびシグナルを格納するデータベース

– security：認証情報（ユーザー、ロール、グループ、権限）

– master：下位互換のためのテーブル


Object Server データベース（2/3）

� Object Serverはオンメモリーで稼動– 対障害を考慮しバックアップ(チェックポイント）を定期的にディスク上に格納

– デフォルトのチェックポイントは1min間隔

– チェックポイントファイル• <xxxx>store_0.chkおよび<xxxx>store_1.chk

– チェックポイントの間はログファイルに変更を記録

• <ｘｘｘｘ>store_0.logおよび<xxxx>store_1.log

� 正常停止時– データは<xxxx>.tabファイルに格納され、<xxxx>.chkおよび<xxxx>.logファイルは削除

される

� 正常起動時– <xxxx>.tabファイルがメモリーに読み込まれ稼動

� 異常終了時の再起動– チェックポイントファイル（<xxxx>store_x.chk）およびログファイル（<xxxx>store_x.log）から

リカバリーを行い稼動


Object Server データベース（3/3） CLI - nco_sql

� ObjectServerにアクセスするためのコマンドラインインターフェイスを提供

$OMNIHOME/bin/nco_sql –server <ObjectServer Name>

– アクセスにはObjectServerに定義したユーザーID/パスワードによる認証が必要

� 基本的にはSQL文にて各種操作を行う

– アラートデータの検索/参照

– データベース定義の変更（サイズ拡張、テーブル定義の変更など）

– データベースのバックアップ

– ObjectServerの停止など・・・

�TECの場合はwtdumprl/wtdumperにてイベントデータの参照を行うが、OMNIbusの場合はnco_sqlにて

同様の操作が可能

�TECの場合はwtdumprl/wtdumperにてイベントデータの参照を行うが、OMNIbusの場合はnco_sqlにて

同様の操作が可能


ObjectServerのカスタマイズ

� ObjectServerのカスタマイズは“nco_config”ツールを使用

– 変更は即時反映（再起動不要）

� “nco_config”では以下のカスタマイズが可能

– 新規データベース、テーブル、カラムの追加

– Trigger、Procedure、Signalの作成/変更

– ObjectServerのユーザー、グループの作成/変更

– プロパティの編集

�TECの場合はルール、Barocなどサーバー構成変更時にはTECサーバーの再起動が必要

�TECの場合はルール、Barocなどサーバー構成変更時にはTECサーバーの再起動が必要


Process Agent (PA)


Process Agent（PA）とは

ホスト：AAAホスト：AAA

ObjectServer

Probe

ホスト：BBBホスト：BBB

NCO_PA

SYSLOG_PA

� OMNIbusコンポーネントの起動コンポーネントの起動コンポーネントの起動コンポーネントの起動/停止を制御停止を制御停止を制御停止を制御

– PAより各種OMNIbusコンポーネントの起動・停止・ステータス照会が可

能

� プロセス異常停止時の自動再起動プロセス異常停止時の自動再起動プロセス異常停止時の自動再起動プロセス異常停止時の自動再起動

– PA制御下にあるプロセスが異常終了した場合、自動再起動を行う設定

が可能

� Automationから外部コマンドを呼び出す際のインターから外部コマンドを呼び出す際のインターから外部コマンドを呼び出す際のインターから外部コマンドを呼び出す際のインター

フェイスを提供フェイスを提供フェイスを提供フェイスを提供

– Procedure内で外部コマンドを呼び出す際にはPA経由が必須

� PA間通信によるリモートプロセスの制御間通信によるリモートプロセスの制御間通信によるリモートプロセスの制御間通信によるリモートプロセスの制御

– リモートのOMNIbusコンポーネントをPA経由で制御可能

自ノード内の

プロセス制御

リモートの

プロセス制御

PA間通信


nco_pa.confファイル

� Process Agentsの構成情報が記述されたファイル$OMNIHOME/etc/nco_pa.conf（デフォルト）

– nco_process

• PAで制御するプロセス（起動コマンド）を記述

• PAが制御する最小単位

– nco_service

• プロセスをグルーピングしたもの

• サービス内のプロセス起動順序（依存関係）を定義

– nco_security (オプション)

• PAへのアクセス制御情報を定義

– nco_routing

• リモートPAのホスト名を定義


（参考）nco_pa.conf ファイルの定義例（（（（Process））））nco_process 'MasterObjectServer'

{

Command '$OMNIHOME/bin/nco_objserv -name NCOMS -pa NCO_PA' run as 0

Host = 'omnihost'

Managed = True

RestartMsg = '${NAME} running as ${EUID} has been restored on ${HOST}.'

AlertMsg = '${NAME} running as ${EUID} has died on ${HOST}.'

RetryCount = 0

ProcessType = PaPA_AWARE

}

nco_process 'Syslog_Probe'

{

Command '$OMNIHOME/probes/nco_p_syslog' run as 0

Host = 'omnihost'

Managed = True

RestartMsg = '${NAME} running as ${EUID} has been restored on ${HOST}.'

AlertMsg = '${NAME} running as ${EUID} has died on ${HOST}.'

RetryCount = 0

ProcessType = PaPA_AWARE

}


（参考）nco_pa.conf ファイルの定義例（（（（Service））））# List of Services

#

nco_service 'Core'

{

ServiceType = Master

ServiceStart = Auto

process 'MasterObjectServer' NONE

process 'Syslog_Probe' 5

}


Process Agentデーモン� プロセス制御を行うノードにはProcess Agent（PA）を導入

� PA導入ノードごとに以下の設定を行う必要あり

– $OMNIHOME/etc/nco_pa.confの編集

– “nco_xigen”を使用したインターフェイスファイルの編集（PAエントリーの追加）

– Process Agent Daemonの起動

• Linuxの場合：

$OMNIHOME/bin/nco_pad -name NAME_PA -authenticate PAM

� PAの自動起動設定

– OMNIbusのコンポーネントは導入時に自動起動登録は行われない

– PAに関しては以下の自動起動設定用スクリプトが用意されている

$OMNIHOME/install/startup/<ARCH>install

– PA制御下に設定したプロセスはPA起動後に自動的に起動される

• プロセス起動順序、依存関係はnco_pa.confのserviceセクションで定義

�TECの場合、oservやアダプターは導入時に自動起動設定が追加されるがOMNIbus

の場合は手動で行う必要がある

�TECの場合、oservやアダプターは導入時に自動起動設定が追加されるがOMNIbus

の場合は手動で行う必要がある


Process制御コマンド� Serviceステータス表示

– $OMNIHOME/bin/nco_pa_status

� 全プロセスの停止

– $OMNIHOME/bin/nco_pa_shutdown

� Service/Processの停止

– $OMNIHOME/bin/nco_pa_stop

[root@omnisvr etc]# nco_pa_status

Login Password:

-------------------------------------------------------------------------------

Service Name Process Name Hostname User Status PID

-------------------------------------------------------------------------------

Core MasterObjectServer omnihost root RUNNING 29395

Syslog_Probe omnihost root RUNNING 22917

-------------------------------------------------------------------------------

� Service/Processの起動

– $OMNIHOME/bin/nco_pa_start

� Service/Processの設定追加

– $OMNIHOME/bin/nco_pa_addentry

ステータス表示例


サイジング編


OMNIbusサイジング上の留意点

� 各製品を同居させることは技術的には可能ですが、パフォーマンス上の理由から、それぞれを別のマシンへ導入することが推奨されています。

特に以下のプロダクトは別のマシンへ導入することを強く推奨します。

– Netcool OMNIbus ObjectServer

– Netcool/WebTop

– Netcool/Impact

� 本サンプル構成は、あくまで参考情報であり製品としてのキャパシティ、パフォーマンスを保障するものではありません。

� Gatewayは、OracleやSybase等、DBの種類に対応した専用のGatewayの種類がありますが、本サンプル構成では、一般的なGatewayの配置方法についてのみ記述することとします。種類毎の構成については言及していません。

� 冗長構成を取る場合、経路間の回線速度は100Mbps以上、かつ遅延が少ないことが条件です。

� ハードディスク容量は一般的に導入に必要なサイズ以外に、以下のような目的にも余裕のある容量を確保しておくことを推奨します。

• ローカルバックアップ用

• Hard Disk に導入イメージをコピーする場合

• Hard Disk にPatchイメージをコピーする場合


サンプル構成 A：検証用/小規模用構成～製品一覧～

� 各製品を同居させ、かつ製品間で冗長構成をとった構成

制約条件：

� 監視GUI(WebTop)の同時アクセスユーザー数：5以下

� イベント処理数：10,000イベント/日以下

� 瞬間最大イベント発生件数：50イベント/秒以下

� Impactの処理内容は、イベントへの情報付与など、比較的単純なポリシーであること

サーバーハードウェアシステム名システム内容使用製品備考イベント統合データベースイベントの収集/蓄積/処理 ObjectServerイベント転送モジュール外部のDBへイベント履歴を記録 GWイベント収集モジュール監視対象やEMS/NMSよりイベント情報を収集 Probe

NGFWebtop ServerImpact Name Server Impact Server

ユーザー管理ユーザーおよびその権限の管理 Security ManagerObjectServer プライマリー停止時に切り替わりBi-GW 冗長間のイベント情報同期

イベント転送モジュール外部のDBへイベント履歴を記録 GWイベント収集モジュール監視対象やEMS/NMSよりイベント情報を収集 Probe プライマリー停止時に切り替わり

NGFWebtop ServerImpact Name Server プライマリー停止時に切り替わりImpact Server プライマリー停止時に切り替わり

ユーザー管理ユーザーおよびその権限の管理 Security Managerイベント履歴サーバー③

※使用データベースに依存

イベント履歴蓄積データベースイベント履歴の蓄積(GW対応のデータベース)

冗長機能が無いため、設定ファイルの同期の仕組みが別途必

プライマリーサーバー②

4Way CPU8GB メモリー監視GUIサーバー Webによる監視画面の提供

イベントへの情報付加や相関処理イベント相関処理サーバー

イベント統合データベースイベントの収集/蓄積/処理

プライマリーサーバー①

4Way CPU8GB メモリー

監視GUIサーバー Webによる監視画面の提供

イベントへの情報付加や相関処理イベント相関処理サーバー

導入構成：


サンプル構成 A：検証用/小規模用構成～システム論理構成図～Aggregation Tier

Collection Tier

Display Tier

Web

ブラウザー

RDBRDB

ObjectServer(Backup)

GW

ObjectServer(Primary)

GW

Probe

監視対象監視対象監視対象監視対象

ImpactServer

ImpactNameServer

NGF

WebTopServer

監視監視監視監視GUI端末端末端末端末Impact設定設定設定設定GUI端末端末端末端末プライマリープライマリープライマリープライマリー

サーバーサーバーサーバーサーバー①①①①

イベント履歴イベント履歴イベント履歴イベント履歴サーバーサーバーサーバーサーバー③③③③

冗長構成冗長構成冗長構成冗長構成

Bi-GW

Probe冗長構成冗長構成冗長構成冗長構成

ImpactServer

ImpactNameServer

NGF

WebTopServer

セカンダリーセカンダリーセカンダリーセカンダリーサーバーサーバーサーバーサーバー②②②②

SecurityManager

SecurityManager

クラスター構成クラスター構成クラスター構成クラスター構成



サンプル構成 B：中規模構成～製品一覧～

� イベント統合データベースであるObjectServerのみ、可用性を高めるために冗長構成にします。

– その他の製品は単一構成になっています。

制約条件：

� 監視GUI(WebTop)の同時アクセスユーザー数：

– Read/Write権限のユーザーが25、Read Only権限のユーザーが50以下

� イベント処理数：1,000,000イベント/日以下

� 瞬間最大イベント発生件数：800イベント/秒以下

サーバーハードウェアシステム名システム内容使用製品備考

イベント統合データベースイベントの収集/蓄積/処理 ObjectServer

イベント転送モジュール外部のDBへイベント履歴を記録 GW

ObjectServer プライマリー停止時に切り替わり

Bi-GW 冗長間のイベント情報同期イベント転送モジュール外部のDBへイベント履歴を記録 GW

サーバー③1Way CPU1GB メモリー

イベント収集モジュール監視対象やEMS/NMSよりイベント情報を収集 Probe

NGFWebtop Server

サーバー⑤1Way CPU1GB メモリー

ユーザー管理ユーザーおよびその権限の管理 Security Manager Webtop、Impactユーザー管理

Impact Name Server Impact Server

イベント履歴サーバー⑦

※使用データベースに依存

イベント履歴蓄積データベースイベント履歴の蓄積(GW対応のデータベース)

サーバー①

サーバー②



イベント統合データベースイベントの収集/蓄積/処理

サーバー④

サーバー⑥




イベント相関処理サーバーイベントへの情報付加や相関処理

導入構成：


サンプル構成 B：中規模構成～システム論理構成図～Aggregation Tier

Collection Tier

Display Tier

Web

ブラウザー


GW


GW

Probe

NMS/EMS

Probe


ImpactServer

ImpactNameServer

NGF

WebTopServer

SecurityManager

Web

ブラウザー

監視端末監視端末監視端末監視端末Impact設定端末設定端末設定端末設定端末

サーバーサーバーサーバーサーバー①①①① サーバーサーバーサーバーサーバー②②②②

サーバーサーバーサーバーサーバー④④④④

サーバーサーバーサーバーサーバー③③③③

サーバーサーバーサーバーサーバー⑥⑥⑥⑥

サーバーサーバーサーバーサーバー⑤⑤⑤⑤


Bi-GW

RDBRDB

イベント履歴イベント履歴イベント履歴イベント履歴サーバーサーバーサーバーサーバー⑦⑦⑦⑦


サンプル構成 C：大規模構成(イベント数による) ～製品一覧～

� イベント数が増加した場合、収集用のObjectServerと、統合用ObjectServerを用意し、ObjectServer間のMoM（Manager of Manager）構成を取ることにより拡張を行います。

制約条件：

� 以下の条件のいずれかを超える場合、収集用のObjectServerを追加配置します。

– イベント処理数：1,000,000イベント/日以上

– 瞬間最大イベント発生件数：800イベント/秒以下

� 収集用ObjectServerが、以上の条件を超える毎に、収集用のObjectServerを随時追加します。

サーバーハードウェアシステム名システム内容使用製品備考サーバー①～⑦

ObjectServerUni-GW 統合用ObjectServerへイベントを転送ObjectServerUni-GW 統合用ObjectServerへイベントを転送

イベント収集用データベース収集/転送機能に特化したObjectServerイベントの収集/転送処理

サーバー⑧2Way CPU2GB メモリー

サンプル構成 B と同様

サーバー⑨2Way CPU2GB メモリー

イベント収集用データベース収集/転送機能に特化したObjectServerイベントの収集/転送処理

導入構成：


RDBRDB


ObjectServer(Collection)

サンプル構成 C：大規模構成(イベント数による) ～システム論理構成図～Aggregation Tier

Collection Tier

Display Tier

Web

ブラウザー


GW


GW

Probe

NMS/EMS

Probe


ImpactServer

ImpactNameServer

NGFNGFSecurityManager

Web

ブラウザー


サーバーサーバーサーバーサーバー①①①① サーバーサーバーサーバーサーバー②②②②





Uni-GW

FailOverGW

ObjectServer(Collection)

Uni-GW


WebTop

接続先障害時のバックアップ経路

サーバーサーバーサーバーサーバー⑧⑧⑧⑧ サーバーサーバーサーバーサーバー⑨⑨⑨⑨


サンプル構成 D：大規模構成(同時接続ユーザー数による) ～製品一覧～

� 監視画面の同時接続ユーザーが増えた場合、表示処理用ObjectServer、およびWebTopを

追加配置します。

制約条件：

� 以下の条件のいずれかを超える場合、収集用のObjectServerを追加配置します。

– 監視GUI(WebTop)の同時アクセスユーザー数：

• Read/Write権限のユーザーが25、Read Only権限のユーザーが50以下

� 当時接続ユーザー数が、以上の条件を超える毎に、表示処理用ObjectServer、およびWebTopを随時追加します。

サーバーハードウェアシステム名システム内容使用製品備考サーバー①～⑦

ObjectServerUni-GW 統合用ObjectServerからイベントを転送ObjectServerUni-GW 統合用ObjectServerからイベントを転送NGFWebtop Server

サーバー⑩2Way CPU4GB メモリー


サンプル構成 B と同様

サーバー⑧2Way CPU4GB メモリー

イベント表示処理用データベース

イベント表示GUIからのアクセス処理に特化したObjectServer

サーバー⑨2Way CPU4GB メモリー

イベント表示処理用データベース

イベント表示GUIからのアクセス処理に特化したObjectServer

導入構成：


RDBRDB



GW


GW

FailOverGW

サンプル構成 D：大規模構成(同時接続ユーザー数による) ～システム論理構成図～

Aggregation TierCollection Tier

Display Tier

Web

ブラウザー


ImpactServer

ImpactNameServer

NGF

WebTopSecurityManager





Probe

NMS/EMS

Probe

ObjectServer（Display)

ObjectServer(Display)

Uni-GW Uni-GW

Web

ブラウザー


Web

ブラウザー

NGF

WebTop

監視監視監視監視GUI


接続先障害時のバックアップ経路

サーバーサーバーサーバーサーバー⑧⑧⑧⑧ サーバーサーバーサーバーサーバー⑨⑨⑨⑨

サーバーサーバーサーバーサーバー⑩⑩⑩⑩


コンソール編


ConsoleOMNIbus Desktop & Event List


２つのコンソール：Native Desktop Console & WebTop Console

�UNIX版とWindows版

�TEC Java Consoleに相当

�拡張通知機能：AEN

�UNIX版とWindows版

�TEC Java Consoleに相当

�拡張通知機能：AEN

�TEC Web Consoleに

相当

�OMNIbusとは別製品

�TEC Web Consoleに

相当

�OMNIbusとは別製品


イベント・リスト(モニターボックス）ラバランプ形式：

・重要度別割合

・最大と最小ヒストグラム形式：

・バーチャート

�TEC Consoleの要約図表ビューや優先

順位ビューに相当

�TEC Consoleの要約図表ビューや優先

順位ビューに相当

�モニターボックス：TECのEvent Groupに相当

�Filter と

�View によって構成

�モニターボックス：TECのEvent Groupに相当

�Filter と

�View によって構成


イベント・リストフィルタービュー


イベントに対するコンソール操作: TECとの比較 (Default設定の場合）

・ステータス/重要度/オーナーシップ/エスカレーションなどの履歴が記録される・任意のメッセージを追記可能

ジャーナル

・Normal・Escalated・Escalated-Level2・Escalated-Level3・Maintenance・Suppress・Hidden・TaskListに追加

その他変更（エスカレーション/サプレス等）

・該当機能無し・ACKやCLOSEしたAdministrator名と時刻が記録される

自分でオーナーシップを取得するほか、他ユーザやグループへのアサインも可能

オーナーシップ

CLOSED

ACK(Deleted)

(RESPONSE)Unacknowledged OMNIbusはAckからDeackすることが可能

OPENAcknowledged

ステータス

FATALCritical

CRITICALMajor

MINORMinor

WARNINGWarning

HARMLESSClear

OMNIbusは重要度をコンソールから変更可能

UNKNOWNIndeterminate

重要度

備考備考備考備考TECTECTECTECOMNIbusOMNIbusOMNIbusOMNIbus

�いずれの操作も適切な権限が必要�いずれの操作も適切な権限が必要


イベント・リスト：イベント情報 �Eventをダブルクリックで表示

�TEC Consoleのイベント情報に該当

�TECと比べた場合、ジャーナル機能が特徴的

�Eventをダブルクリックで表示

�TEC Consoleのイベント情報に該当

�TECと比べた場合、ジャーナル機能が特徴的

Probe側でdetails機能を使用

した場合に出力

Field & Value

ジャーナルあらゆる操作履歴＋メモ追記も可能


ConsoleAccelerated Event Notification (AEN)


Accelerated Event Notification (AEN)：概要

� 特定の重要イベント受信の際、チャネルを通じてブロードキャスト特定の重要イベント受信の際、チャネルを通じてブロードキャスト特定の重要イベント受信の際、チャネルを通じてブロードキャスト特定の重要イベント受信の際、チャネルを通じてブロードキャスト⇒⇒⇒⇒ Popupと音で通知と音で通知と音で通知と音で通知

Alarm

@FastTrack=1Alert

begin

if ( new.FastTrack = 1 )

then

iduc evtft ‘AEN_Channel', insert , new ;

end if;

end

ObjectServerObjectServerProbe RuleProbe Rule

Trigger AutomationTrigger Automation

ChannelsChannels

AEN_ChannelPopup通知Popup通知

AEN ClientsAEN Clients

AEN_ChannelAEN_Channel Popup通知Popup通知

Popup通知Popup通知


Accelerated Event Notification (AEN)：Client側画面遷移

Sign in Sign in成功

対象Alert到

着【Sign in前】

【認証】

【Sign in後：Wait状態】

【アイコン変化＆Popupで通知】

＋ClickでEventList起動

History表示

【該当イベントのみ表示】

Windowsタスクバー

アイコン


ConsoleNetcool/Webtop


Webtop

� Netcool/WebtopはブラウザーベースではブラウザーベースではブラウザーベースではブラウザーベースでObject Serverへアクセスするための機能を提供へアクセスするための機能を提供へアクセスするための機能を提供へアクセスするための機能を提供

– OMNIbusとは別ライセンス

– グラフィカルなビュー

– クライアントS/Wは不要

� Webtopは大量のクライアントによる単一は大量のクライアントによる単一は大量のクライアントによる単一は大量のクライアントによる単一ObjectServerへの効果的なアクセスを可能とするへの効果的なアクセスを可能とするへの効果的なアクセスを可能とするへの効果的なアクセスを可能とする

� Webtop serverは必要に応じは必要に応じは必要に応じは必要に応じBackup Object Serverへのフェイルオーバーをサポートへのフェイルオーバーをサポートへのフェイルオーバーをサポートへのフェイルオーバーをサポート

Object Server

WebtopServer

Probes

BrowserClients


WebTop：外観カスタマイズ例(1)

Tab Layout

チャートビューポイント

テーブルビューポイント

AELビューポイント

�機能的にはTEC Web Consoleに該当するが、より表現力に富んだ、自由度の高い各種Interface

を持たせられる

�機能的にはTEC Web Consoleに該当するが、より表現力に富んだ、自由度の高い各種Interface

を持たせられる

Two-columns Layout


WebTop：外観カスタマイズ例(2)

Menu Layout

IFrame

ビューポイント

Map

ビューポイント

�MapはTEC Consoleの要約図表ビューや優先順位ビューに相当する機能を持つ（Clickして該当Event GroupのListを表示等）

�IFrameは任意のURL指定可能

�MapはTEC Consoleの要約図表ビューや優先順位ビューに相当する機能を持つ（Clickして該当Event GroupのListを表示等）

�IFrameは任意のURL指定可能


WebTop – AEL（Active Event List)外観ﾌｨﾙﾀｰ選択ﾋﾞｭｰ選択ｿｰﾄｷｰ指定

重要度選択

検索

�Java Applet BaseのFull Function Event Console�Java Applet BaseのFull Function Event Console


WebTop – AEL アラート状況表示

�Desktop版のEvent Listと同様�Desktop版のEvent Listと同様


Probe編


Probeの概要


Probe について� Probe とはとはとはとは

– 監視対象機器、ソフトウェアのアラーム（Syslog や SNMP Trap など）を受信しObjectServer にイベント送信

– ルールを定義し、送信するイベント・メッセージ内容の加工やフィルタリングを行う

– 既存で250種類以上の Probe が存在

イベントイベントイベントイベントイベントイベントイベントイベントに変換後、に変換後、に変換後、に変換後、に変換後、に変換後、に変換後、に変換後、ObjectServerObjectServer に転送に転送に転送に転送に転送に転送に転送に転送

ProbeProbeProbe

ObjectServerObjectServer

運用者は運用者は運用者は運用者は運用者は運用者は運用者は運用者は GUIGUI でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視

データ収集データ収集データ収集データ収集データ収集データ収集データ収集データ収集

インターフェースは

データ・ソースに依存(ログログログログ/API/CORBA等等等等)

データソースが生成したデータ

データ・ソースデータ・ソースデータ・ソースデータ・ソース(監視ツール等監視ツール等監視ツール等監視ツール等)

データ・ソースデータ・ソースデータ・ソースデータ・ソース(監視ツール等監視ツール等監視ツール等監視ツール等)

イベントイベントイベントイベントイベントイベントイベントイベントを蓄積を蓄積を蓄積を蓄積を蓄積を蓄積を蓄積を蓄積

主なタイプ主なタイプ主なタイプ主なタイプ:• API (ie., HP NNM, BMC Patrol)• log file (ie., syslog)

• device specific (ie., Nortel)• Database (ie., Oracle)• Miscellaneous (ie., Heartbeat)


Probe のコンポーネント

Probe はははは、、、、次の次の次の次の3つのコンポーネントで構成されるつのコンポーネントで構成されるつのコンポーネントで構成されるつのコンポーネントで構成される

�� 実行ファイル実行ファイル実行ファイル実行ファイル実行ファイル実行ファイル実行ファイル実行ファイル

– Probe 本体となるバイナリファイル

– イベントソースへの接続、イベントの収集、ObjectServer へのイベントの転送を行う

実行ファイル名実行ファイル名実行ファイル名実行ファイル名: nco_p_{Probe名}

例) nco_p_mttrapd ・・・SNMP Probe (SNMP Trap 受信 Probe)nco_p_syslog ・・・Syslog Probe

�� PropertiesPropertiesファイルファイルファイルファイルファイルファイルファイルファイル

– Probe が動作する上での環境設定ファイル

– 接続する ObjectServer や、動作 Log ファイルの作成先等を設定する

ファイル名：{Probe名名名名}.props

例) syslog.props ・・・ Syslog Probe用

�� RulesRulesファイルファイルファイルファイルファイルファイルファイルファイル

– ObjectServer へ転送するイベント内容を設定するための定義ファイル

– 受信したアラームに対して、メッセージ内容やその他付加情報の追加、フィルタリング等、イベントの各フィールドに入る情報を定義

ファイル名：ファイル名：ファイル名：ファイル名：{Probe名}.rules

例) syslog.rules ・・・ Syslog Probe用�Properties⇒TECADの.confに相当

�Rules⇒TECADのフォーマット定義と、

状態相関エンジンルールに相当

�Properties⇒TECADの.confに相当

�Rules⇒TECADのフォーマット定義と、

状態相関エンジンルールに相当


Propsファイル

� Probeののののpropertyををををpropsファイルで定義することが可能ファイルで定義することが可能ファイルで定義することが可能ファイルで定義することが可能

� Propertyはははは2種類あり、種類あり、種類あり、種類あり、probe共通共通共通共通properties と、各と、各と、各と、各probe固有の固有の固有の固有のpropertiesになるになるになるになる

probe共通propertiesの例)

LogFile : “/var/log/ncolog” ・・・ログファイルが格納される場所

� トレースモードも設定可能トレースモードも設定可能トレースモードも設定可能トレースモードも設定可能

MessageLevel : “debug” ・・・probeのログの出力レベル

� 設定変更方法設定変更方法設定変更方法設定変更方法

Propsファイル変更後、Syslog Probe再起動。

※Rulesファイルと異なり、kill -HUP <Syslog ProbeのPID>では反映されない


Rulesファイル (1/2)

� Severityやクラスを設定可能。やクラスを設定可能。やクラスを設定可能。やクラスを設定可能。

� 特定の特定の特定の特定のkeyを元に、イベントをフィルターを元に、イベントをフィルターを元に、イベントをフィルターを元に、イベントをフィルター(破棄破棄破棄破棄)することが可能。することが可能。することが可能。することが可能。

� Rulesファイルは複数のプログラム処理を含んでいる。受信されたデータを扱ファイルは複数のプログラム処理を含んでいる。受信されたデータを扱ファイルは複数のプログラム処理を含んでいる。受信されたデータを扱ファイルは複数のプログラム処理を含んでいる。受信されたデータを扱うために、各イベントを処理し、うために、各イベントを処理し、うために、各イベントを処理し、うために、各イベントを処理し、 alerts.status fieldsへそれを割り当てている。へそれを割り当てている。へそれを割り当てている。へそれを割り当てている。

� 中心となる機能は、中心となる機能は、中心となる機能は、中心となる機能は、Identifier fieldを定義すること。を定義すること。を定義すること。を定義すること。

� イベントに対する追加情報も、イベントに対する追加情報も、イベントに対する追加情報も、イベントに対する追加情報も、rulesファイルで設定可能。ファイルで設定可能。ファイルで設定可能。ファイルで設定可能。

� alerts.statusののののfieldの値はの値はの値はの値は rulesファイルで設定することも可能。ファイルで設定することも可能。ファイルで設定することも可能。ファイルで設定することも可能。

� Probeは複雑に結びついたは複雑に結びついたは複雑に結びついたは複雑に結びついたrulesファイルを備えている。ファイルを備えている。ファイルを備えている。ファイルを備えている。(include files)

� 設定変更方法設定変更方法設定変更方法設定変更方法

Rulesファイル変更後、kill -HUP <Syslog ProbeのPID>を実行


データデータデータデータデータデータデータデータ

((((((((監視システム等監視システム等監視システム等監視システム等監視システム等監視システム等監視システム等監視システム等))))))))

RulesRulesRulesRulesRulesRulesRulesRulesファイルに基づき、ファイルに基づき、ファイルに基づき、ファイルに基づき、ファイルに基づき、ファイルに基づき、ファイルに基づき、ファイルに基づき、収集したデータをイベン収集したデータをイベン収集したデータをイベン収集したデータをイベン収集したデータをイベン収集したデータをイベン収集したデータをイベン収集したデータをイベント変換ト変換ト変換ト変換ト変換ト変換ト変換ト変換

ProbeProbeProbeProbeProbeProbeProbeProbeProbeProbeProbeProbe

ObjectServerObjectServerObjectServerObjectServerObjectServerObjectServerObjectServerObjectServer

rulesrulesrulesrulesrulesrulesrulesrulesファイルファイルファイルファイルファイルファイルファイルファイル

データ収集データ収集データ収集データ収集データ収集データ収集データ収集データ収集

�� 各各ProbeProbeは収集したデータをは収集したデータをRulesRulesファイルに基づいて処理ファイルに基づいて処理

–– 例例例例例例例例: severity: severity変換、イベントの破棄変換、イベントの破棄変換、イベントの破棄変換、イベントの破棄変換、イベントの破棄変換、イベントの破棄変換、イベントの破棄変換、イベントの破棄(discard)(discard)

Rulesファイル (2/2)

�TECと異なり、任意のkeyをトリガーにseverityを設定、イベントのdiscard(破棄)が可能

�TECと異なり、任意のkeyをトリガーにseverityを設定、イベントのdiscard(破棄)が可能

・・・・・・・・severityseverity設定設定設定設定設定設定設定設定

@Severity = 5@Severity = 5

・イベント・イベント・イベント・イベント・イベント・イベント・イベント・イベントdiscarddiscard

if(regmatch($Token5,“server1"))

discard


Probe のイベント処理フロー

•Probe が共通のイベントフォーマットを用い、ObjectServer のイベント・データベース・テーブル

(alerts.status)にFieldのデータを転送し、イベントが追加される

・Elementトを「「「「RulesRulesRulesRulesファイル」ファイル」ファイル」ファイル」内の規則により処理

・イベントの「Field」へ入れたい値を、条件文や演算子を用いて加工

・＠＠＠＠<Field<Field<Field<Field名名名名>>>>へ値を代入することにより、イベントのFieldの値が決定

アラームを「「「「TokenTokenTokenToken」」」」に分解し、「「「「ElementElementElementElement」」」」($<Element($<Element($<Element($<Element名名名名>>>>の変数の変数の変数の変数))))へ代入する

Aug 26 01:58:19 host1 app1[2919]: auth fail user root

@Node=$Host @Severity = 5 @AlertKey = $Token6

@Summary = “問題：問題：問題：問題：” + $Details

ObjectServer

alerts.statusテーブルテーブルテーブルテーブル

@Node= “host1” @Severity = 5

@AlertKey = “auth”

@Summary= “問題：問題：問題：問題： app1[2919]: auth fail $user=root”

Probe がアラームを受信

例例例例) Syslog Probe

$Details = app1[2919]: auth fail user root$Time = 1188040969$Agent = app1$Host = host1$Token1 = Aug$Token2 = 26

$Token3 = 01:58:19

$Token4 = host1

$Token5 = app1[2919]

$Token6 = auth

$Token7 = fail

$Token8 = user

�Field：TECのSlotに該当�Field：TECのSlotに該当


Probeのキャッシュ機能

� storeファイルファイルファイルファイル(cacheファイルファイルファイルファイル) がががが $NCHOME/omnibus/var以下に以下に以下に以下に

作成される。作成される。作成される。作成される。

例:syslog.store.NCOMS, syslog.store.NCOMS_old

� propsファイルや起動オプションで、ファイルや起動オプションで、ファイルや起動オプションで、ファイルや起動オプションで、cacheファイルを指定することはファイルを指定することはファイルを指定することはファイルを指定することは

不可。不可。不可。不可。


メッセージ長について(1/2)

� Summary filedに格納できるのは、に格納できるのは、に格納できるのは、に格納できるのは、255文字まで文字まで文字まで文字まで(Default設定設定設定設定)

参照元参照元参照元参照元: Best Practices for IBM Tivoli Enterprise Console to Netcool/OMNIbus Upgrade p.139 3.11.3 Large event messages (greater than 255 characters)

http://www.redbooks.ibm.com/abstracts/sg247557.html

� 検証結果検証結果検証結果検証結果

Syslog Probeで検証。Identifier field, Summary fieldには、255文字までしか代入されなかった。

� 対応方法対応方法対応方法対応方法(未検証未検証未検証未検証)

新しいfiledを作成して、そこに代入させる。

�Summaryフィールドには255byte以上のメッセージを代入可能であるという、別の検証結果もありました。これはあくまでもISEで検証した結果として参照いただくようお願いいたします。

�Summaryフィールドには255byte以上のメッセージを代入可能であるという、別の検証結果もありました。これはあくまでもISEで検証した結果として参照いただくようお願いいたします。


メッセージ長について(2/2)

Identifier field, Summary fieldには、255文字代入され、ObjectServer のイベント・データベース・テーブル

(alerts.status)にデータを転送する。

・・・・Syslog Probeで処理Details Elementには、2024文字目まで代入される。

Jun 23 20:36:27 omnisvr ojima: aaa<略>0050<略>aa2100

06/23/08 20:25:59: Warning: New value for field Identifier truncated to 255 bytes

06/23/08 20:25:59: Debug: New value for field Identifier is @omnisvr ->

a<略>0200aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

06/23/08 20:25:59: Warning: New value for field Summary truncated to 255 bytes

06/23/08 20:25:59: Debug: New value for field Summary is

a<略> a0250aaaaa

ObjectServer

alerts.statusテーブルテーブルテーブルテーブル

・Syslog Probeの監視対象ファイルに代入

cat message_a2100.txt >> /var/log/ncolog

ログメッセージログメッセージログメッセージログメッセージ

06/23/08 20:25:59: Debug: [Event Processor] Token1: Jun06/23/08 20:25:59: Debug: [Event Processor] Token2: 2306/23/08 20:25:59: Debug: [Event Processor] Details:aa <略> a0500<略>a2000aaaaaaaaaaaaaaaaaaaaaaaa

�Probeの処理状況は、Debugモードにしてprobeのログを確認

�Probeの処理状況は、Debugモードにしてprobeのログを確認

syslog probeのログのログのログのログ(/opt/netcool/omnibus/log/syslog.log)


Syslog Probe


Syslog監視方法

� 二種類の二種類の二種類の二種類のSyslog用用用用Probe

– Syslog Probe ・・・名前付パイプ or ファイル経由

– Syslogd Probe ・・・UDP


Syslog Probeのアーキテクチャー

� Syslog Probe

– ローカルのsyslog監視機能

nco_syslogsyslogd

ファイル

名前付パイプ

デーモン

logger

プログラム

監視対象サーバー監視対象サーバー監視対象サーバー監視対象サーバー

syslog.propsの

LogFileプロパティで指定

/etc/syslog.confで指定

.props, .rules

mknodで作成

touchで作成

ObjectServerObjectServer

OR

�Syslog Probeは日本語対応との情報であるがISE環境では、RedHat（UTF-8）、AIX（SJIS）環境ともSyslogへの日本語メッセージは文字化けが発生した。（環境によるものか調査中）

�Syslog Probeは日本語対応との情報であるがISE環境では、RedHat（UTF-8）、AIX（SJIS）環境ともSyslogへの日本語メッセージは文字化けが発生した。（環境によるものか調査中）


Generic Log File(GLF) Probe


GLF: Generic Log File Probe動作モード

未未未未ProbeののののMaster-Slave構成構成構成構成 (サーバ間サーバ間サーバ間サーバ間Hot-Standby

構成）構成）構成）構成）

HeartBeatででででMasterの停止を検知し、の停止を検知し、の停止を検知し、の停止を検知し、Slaveが監視をが監視をが監視をが監視を

引き継ぐ引き継ぐ引き継ぐ引き継ぐ

Peer-to-Peer Failover

済済済済ログデータを全て別ファイルに保管（監査やログデータを全て別ファイルに保管（監査やログデータを全て別ファイルに保管（監査やログデータを全て別ファイルに保管（監査やReplay用）用）用）用）Raw capture

未未未未起動時に起動時に起動時に起動時にUser名名名名/Password認証認証認証認証Secure

未未未未起動時に起動時に起動時に起動時にObjectServerとの通信確立実績不要との通信確立実績不要との通信確立実績不要との通信確立実績不要Automatic store-and-forward

済済済済起動時に起動時に起動時に起動時にObjectServerとの通信確立実績が必要との通信確立実績が必要との通信確立実績が必要との通信確立実績が必要Store-and-Forward

アラート送信失敗アラート送信失敗アラート送信失敗アラート送信失敗時の再送時の再送時の再送時の再送（（（（TECのののの

イベントキャッシュイベントキャッシュイベントキャッシュイベントキャッシュ機能相当）機能相当）機能相当）機能相当）

Replay

CleanStart

済済済済・起動・起動・起動・起動⇒⇒⇒⇒ログ先頭から全て送信ログ先頭から全て送信ログ先頭から全て送信ログ先頭から全て送信⇒⇒⇒⇒停止停止停止停止（テスト時等に利用）（テスト時等に利用）（テスト時等に利用）（テスト時等に利用）

済済済済1: Recovery Fileを無視・起動後の追記を無視・起動後の追記を無視・起動後の追記を無視・起動後の追記Messageのみ送信のみ送信のみ送信のみ送信（（（（TECADと同様の挙動）と同様の挙動）と同様の挙動）と同様の挙動）

2: Recovery Fileを無視・ログ先頭から全て送信を無視・ログ先頭から全て送信を無視・ログ先頭から全て送信を無視・ログ先頭から全て送信

済済済済・・・・Recovery Fileに対象ログをどこまで読んだか記録に対象ログをどこまで読んだか記録に対象ログをどこまで読んだか記録に対象ログをどこまで読んだか記録

・再起動時に・再起動時に・再起動時に・再起動時にRecovery Fileを参照し、を参照し、を参照し、を参照し、GLF停止中の追加メッ停止中の追加メッ停止中の追加メッ停止中の追加メッセージを判別・送信セージを判別・送信セージを判別・送信セージを判別・送信

Recovery（（（（Unix Only)

GLF Probe再起再起再起再起

動時の、書き込み動時の、書き込み動時の、書き込み動時の、書き込み済みログメッセー済みログメッセー済みログメッセー済みログメッセージの送信モードジの送信モードジの送信モードジの送信モード

ISE確認確認確認確認

実績実績実績実績モードの挙動モードの挙動モードの挙動モードの挙動モードモードモードモードモード分類モード分類モード分類モード分類


GLF: TEC Logfile Adapterとの主な相違点

� Adapterよりも複雑・高度な処理ロジックを持たせることが可能よりも複雑・高度な処理ロジックを持たせることが可能よりも複雑・高度な処理ロジックを持たせることが可能よりも複雑・高度な処理ロジックを持たせることが可能

– Rule定義はScripting/Programmingに近い

– その分、Logging/Debug機能も充実

– Lookup Table: 連想配列的テーブル定義～外部ファイル参照も可能（TECの外部Factファイルと同様のことができる）

� 様々な動作モード様々な動作モード様々な動作モード様々な動作モード

– 要件に応じて使い分け

� １インスタンスで１ファイルを監視１インスタンスで１ファイルを監視１インスタンスで１ファイルを監視１インスタンスで１ファイルを監視

– propertiesファイル別に別インスタンス起動で複数ファイル監視可能

– syslog監視には、syslog probeを利用


フォーマット方法案 (⇒次ページに実装案)

※タイムスタンプ・重要度・クラス名は定位置／メッセージは’ – ‘以降行末まで全て

GLF: フォーマット（ルール）定義例(1/3) ～対象メッセージ

<Sample> 監視対象監視対象監視対象監視対象tomcat.log メッセージメッセージメッセージメッセージ

[23 Apr 2008 06:38:48 WARN] org.apache.catalina.session.StandardSession - No singleSingOn EntryParent detected

[23 Apr 2008 06:38:55 ERROR] StandardWrapper[/webtop:MapPage] - Servlet.service() for servlet MapPage threw exception

[26 Apr 2008 14:59:56 ERROR] org.apache.catalina.connector.Connector - Protocol handler pause failed

[26 Apr 2008 16:24:15 ERROR] org.apache.catalina.core.ContainerBase.[Standalone].[localhost].[/] –Servlet NGF threw unload() exception

①タイムスタンプ抽出⇒@LastOccurenceに代入

②重要度抽出⇒@Severityにマッピング、ERRORとWARN以外は破棄

④クラス名抽出⇒@AlertGroup

に代入

③メッセージ文抽出⇒@Summaryにマッピング ( ‘ – ’の後の文字列）


GLF: フォーマット（ルール）定義例(2/3) ～ルール定義例# extract and set Date/Time

#

$DateTime = $FieldVal01 + " " + $FieldVal02 + " " + $FieldVal03 + " " + $FieldVal04

$Time = datetotime($DateTime,“[%e %b %Y %T")

@LastOccurrence = $Time

#

$level = extract($FieldVal05, "([A-Z]+)¥]")

switch($level){

case "ERROR":

@Severity = 5

case "WARN":

@Severity = 3

default:

discard

}

# set node name

$Node = hostname()

#

@Summary = extract($Details, ".* - (.*)")

#

@AlertGroup = $FieldVal06

@Identifier = $Node + $Time + @AlertGroup

#default settings:

@Class = 7955

@Node = $Node

@NodeAlias = $DeviceType

@FirstOccurrence = $Time

①タイムスタンプ抽出⇒@LastOccurenceに代入

②重要度抽出⇒@Severityにマッピング、ERRORとWARN以外は破棄

③メッセージ文抽出⇒@Summaryにマッピング ( -

の後の文字列）

④クラス名抽出⇒@AlertGroupに代入

<続き>

<続く>


GLF: フォーマット（ルール）定義例(3/3) ~ 出力結果


Generic Log File Probe: 日本語出力テスト

�GLFは”Internationalization Support” とマニュアル上明記あり

�Shift_JISにおいて、2バイト目が0x5c（日本の円記号、米国ではバックスラッシュ）となる文字（「申」「能」「表」など、俗に言う「ダメ文字」）の表示確認⇒正常（AIX – SJISで稼動のGLFで確認）

�GLFは”Internationalization Support” とマニュアル上明記あり

�Shift_JISにおいて、2バイト目が0x5c（日本の円記号、米国ではバックスラッシュ）となる文字（「申」「能」「表」など、俗に言う「ダメ文字」）の表示確認⇒正常（AIX – SJISで稼動のGLFで確認）


EIF Probe


Tivoli EIF Probeについて

� Tivoli EIF Probe とはとはとはとは

– Tivoli EIF event（※)を受信し、ObjectServerへ転送する機能

※e.g. postemsgコマンドで送信されたevent

logfile adapterで送信されたevent

– 日本語環境もサポート

ObjectServerObjectServer に転送に転送に転送に転送に転送に転送に転送に転送

Tivoli EIF

Probe

Tivoli Tivoli

EIFEIF

ProbeProbeObjectServerObjectServer

運用者は運用者は運用者は運用者は運用者は運用者は運用者は運用者は GUIGUI でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視でイベントを監視

Tivoli EIF eventTivoli EIF eventTivoli EIF eventTivoli EIF eventTivoli EIF eventTivoli EIF eventTivoli EIF eventTivoli EIF event

TEC

Netview

TEMS

etc

TEC

Netview

TEMS

etc

イベントイベントイベントイベントイベントイベントイベントイベントを蓄積を蓄積を蓄積を蓄積を蓄積を蓄積を蓄積を蓄積


Tivoli EIF Probe イベントリスト上の表示

�実行した送信コマンド

postzmsg -f /tmp/foo.cfg -r WARNING -m “警告イベント" hostname=pochi6 Logfile_Base6 TESTEV6

�実行した送信コマンド

postzmsg -f /tmp/foo.cfg -r WARNING -m “警告イベント" hostname=pochi6 Logfile_Base6 TESTEV6


（参考）Tivoli EIF Probe アラート状況表示

�Identifierフィールド

標準ルールでは、hostname+Source+Classが連携

されている。

�Identifierフィールド

標準ルールでは、hostname+Source+Classが連携

されている。


TECイベント連携編


Netcool/OMNIbus Gateway

Gatewayとは

Netcool/OMNIbusから外部アプリケーションにイベントを転送する機能を提供。

reader/writerから成り、readerがObjectServerからアラートを抽出し、writerが宛先のアプリケーションに転送。

objectserver

宛先宛先宛先宛先アプリケーションアプリケーションアプリケーションアプリケーションreader writer

map

route

Gateway process

Map ：転送する alerts.status のFieldを指定

Reader ：Object Serverを指定

Writer ：宛先を指定し、どのようなDataを転送するかを指定


Tivoli EIF Gateway

Probes

Tivoli EIF Gateway

監視対象

Tivoli EIF Gateway

Netcool/OMNIbusからEvent Integration Facility (EIF)インターフェースを持つアプリケーションにイベント転送する機能を提供。

� Tivoli EIF Gatewayは、ObjectServerからTivoli EIFへの一方向のイベント転送を実施。

� ObjectServerにて行われた変更は、Tivoli EIFに反映可能。

� 転送するイベントのフィルターは、tec.reader.tblrep.def にて定義可能。

TEC

objectserver

Netcool/OMNIbus


OMNIbus＆TEC連携パターン

パターン1．OMNIbus（Manager of Managers)

新規にOMNIbusを中心とした運用を行う場合、TECを下位システムとして接続し、イベントをOMNIbusに統合。

パターン2．TEC（Manager of Managers)

既存のTECを中心とした運用を継続する場合等、OMNIbusを下位システムとして追加導入し、イベントをTECに統合。

TEC3.9 Server(MoM)

OMNIbus7.2Server(MoM)

TECイベントOMNIbusイベント

TECイベント

OMNIbusイベント

TEC3.9 ServerOMNIbus7.2Server

Tivoli NetView ServerITMv6Server

・・・・・・

Tivoli NetView ServerITMv6Server

・・・・・・


OPAL公開パッケージ

Tivoli & Netcool Event Flow Integration

Tivoli Enterprise Console、Tivoli Monitoring、Tivoli NetView とNetcool/OMNIbus 間のイベント連携ベストプラクティス。

URL:http://catalog.lotus.com/wps/portal/topal/details?catalog.label=1TW10EC01

OPALで提供されるパッケージを適用することにより、各製品とOMNIbus

とのイベント連携を実装することが可能。

TEC連携：

前提：TEC 3.9（ 3.9.0-TIV-TEC-FP04以上）


パターン1．OMNIbus（MoM)TEC→OMNIbusイベント転送

TEC Server Tivoli Eif

probe

Omnibus Server

Events Event Forwarding

Update

� TECルールは、EIFインタフェースを使用して選択されたイベントをNetcool/OMNIbus EIF Probeへ転送。

� Tivoli EIF Probeは、イベントを受信しNetcool/OMNIbus Serverに送信。

� TECからOMNIbusへの同期はTECルール・Tivoli EIF Probeを使用し、OMNIbusからTECへの同期はOMNIbusルールとpostzmsgコマンドを使用。


パターン1．OMNIbus（MoM)イベントマッピング

TECStatusstatus

LastOccurence/firstOccurence

Getdate

TECDateDate

TECServerHandleServer_handle

TECEventHandleevent_handle

TECDateReceptionDate_reception

TECRepeatCountRepeat_count

TECFQHostnamefqhostname

TECHostnamehostname

OMNIbus AttributeTEC Attribute

� Probeは、tivoli_eif.rulesの定義によりイベントをOmnibusアラートに変換して、ObjectServerに送信。

� Severityが‘HARMLESS’以外のすべてのTECイベントがTECからOMNIbusに転送される。

※ISEでの検証では、TEC UnknownイベントがWarningアラートとしてOMNIbusに転送されました。

Critical/5

Critical/5

Minor/3

Warning/2

Indeterminate/1※

FATAL / 60

CRITICAL / 50

MINOR / 40

WARNING / 30

UNKNOWN / 10

IdentifireHostname+source+sub_source+sub_origin+event_class

AlertKeySource+sub_source+sub_origin

AlertGroupEvent_class

Summarymsg

Nodeorigin

NodeAliasorigin

ManagerYme10tecad probe on + hostname()

Agentsource

Class6601

OMNIbus AttributeTEC Attribute


パターン2．TEC（MoM)OMNIbus→TECイベント転送

TEC Server

Tivoli EIFGateway

Omnibus Server

Forward

� Netcool/OMNIbus Tivoli EIFGatewayは、Netcool/OMNIbus Serverからイベントを検索して、EIFインタフェースを使用し選択されたイベントをTEC Serverに送信。

� Netcool/OMNIbusからTECへの同期はTivoli EIF Gatewayを使用し、TECからNetcool/OMNIbusへの同期は、TECのforwarding ruleを使用。

Updateアラートアラートアラートアラート


パターン2．TEC（MoM)イベントマッピング

CRITICAL / 50

MINOR / 40

MINOR / 40

WARNING / 30

UNKNOWN / 10

Critical/5

Major/4

Minor/3

Warning/2

Indeterminate/1

Omnibus_last_modified_timeInternalLast

dateLastOccurence

TEC AttributeOMNIbus Attribute

� 新規イベントおよび cleared イベントがNetcool/OMNIbus からTECに転送される。

� Indeterminate およびWarning イベントはTEC転

送されない。

identifierIdentifire

Server_identifireServerName+ServerSerial

Sub_sourceAlertKey

Sub_originAlertGroup

msgSummary

originNode

Node_aliasNodeAlias

managerManager

sourceAgent

Class

OMNIbus

OMNIbus_Update

OMNIbus_Delete_Start

OMNIbus_Delete

OMNIbus_Delete_End

OMNIbus_Gateway_start

Omnibus_status

OPEN

ACKNOWLWDGED

CLEARD

TEC AttributeOMNIbus Attribute


イベントUpdateの反映（TEC）

TEC Server

RuleBase

tec_OMNIbus.rlschange_rule:status_change

orseverity_change

forward_event

Tivoli EifProbe

tivoli_eif.rules

TEC イベントを読み込み、

Omnibus アラー

トに変換

Forward

updated

Event

Omnibus ObjectServer

Trigger

Severityもしくはstatus の変更をチェックし、Omnibusアラートを

更新

From TEC to Netcool/OMNIbus:

ステータス変更およびseverity 変更が同期される。(その他の変更は同期されない)


イベントUpdateの反映（ Omnibus）

Omnibus ObjectServer

triggersuddatetecstatussynchronizetecdeletetec

Proceduresend_to_tec

postzmsg コマンドでUpdateを通知

Postzmsg

TEC Server

ルール・ベース

OMNIbus_Sync event

Ruleset OMNIbus_Sync.rls

Rule: update_events

OmnibusからのUpdateをTECイベン

トに反映

From Netcool/OMNIbus to TEC:

Statusおよびseverity 変更が同期される。


Automation編


AutomationTriggers & Procedures


Automationの基礎

Triggers

�イベントの自動処理

�重複処理

�エスカレーション

�保守

�アクション実行

�など

Triggers

�イベントの自動処理

�重複処理

�エスカレーション

�保守

�アクション実行

�など

Procedures

�一連のアクションをまとめたオブジェクト

�SQL処理

�外部コマンド

Procedures

�一連のアクションをまとめたオブジェクト

�SQL処理

�外部コマンド

ルール(TEC)

タスク(Framework)

Object Server

Probes

Gateway

Webtop

監視対象ProcessControl

ProcessControl

ProcessControl


Triggersとは

� Triggers

– イベントを自動処理

• 処理の例

– 重複処理

– エスカレーション

– 保守

– アクション実行

– TriggersごとにON/OFF可能

� Triggers Group

– 複数のTriggersをグルーピング

– Triggers GroupごとにON/OFF可能


Triggersとは－種類とアーキテクチャ

– Temporal Trigger

• 一定時間ごとに処理を実行

– Database Trigger

• ObjectServerデータベースへのデータ更新時に処理を実行

– Signal Trigger

• Signal発生時に処理を実行– System Signal

> Object Serverが発行

– User-Defined Signal

> SQLからユーザーが発行Triggersからの発行も可能

startup signal backup_failed signal create_object signal

…

objectserver

Event

DeleteInsert

ReinsertUpdate

Pre Post

objectserver

Database Triggers

Temporal Triggers

objectserver

Signal Triggers

SQL

User-Defined

System

定期的

参考参考参考参考) System signals and their attributes: Configuring and administering Tivoli Netcool/OMNIbus


Triggers設定（共通項目）

Setting When

Evaluate Action

｢実行条件｣

Temporal：時間間隔

Database：DB条件

Signal：シグナル内容

｢一時表の作成｣

アクションで利用可能なRead-Onlyの表

SignalおよびTemporal Triggersのみ使用可

｢アクション｣

処理内容の記述Proceduresの実行

｢Setting以外の実行条件｣

通常、実行期間の詳細指定に利用

Triggers


Temporal Triggers: mail_on_critical の設定を見てみよう

Triggers Group

実行間隔

10秒毎の実行

実行優先度

デバッグ・動作モードの制御

Setting Tab

処理概要：発生後30分たってもAcknowledgeされてないCriticalのイベントに関して、emailを送信する (UNIX用)


Temporal Triggers: mail_on_critical の設定を見てみよう

Evaluate Tab

Action Tab

一時表“criticals”の作成

一時表の条件指定(発生後の経過時間チェックなど)

一時表”criticals”の利用

外部コマンドの実行(後述:External Procedures)

DBフィールドGradeの更新


Proceduresとは

� Procedures

– 一連の処理手順を一つのオブジェクトにまとめたもの一連の処理手順を一つのオブジェクトにまとめたもの一連の処理手順を一つのオブジェクトにまとめたもの一連の処理手順を一つのオブジェクトにまとめたもの

– ローカルローカルローカルローカル/リモートの外部スクリプトの実行が可能リモートの外部スクリプトの実行が可能リモートの外部スクリプトの実行が可能リモートの外部スクリプトの実行が可能 (例：メール送信など例：メール送信など例：メール送信など例：メール送信など)

– 以下の方法で呼び出しを行うことが可能以下の方法で呼び出しを行うことが可能以下の方法で呼び出しを行うことが可能以下の方法で呼び出しを行うことが可能

• Trigger の Action

• nco_sql コマンド

• Tools のメニュー


Proceduresとは – 2種類のProcedures

objectserver

SQL Procedures

SQL処理の種類

ALTER SYSTEM BACKUP, ALTER SYSTEM SET, ALTER SYSTEM DROP CONNECTION

ALTER TRIGGER, ALTER TRIGGER GROUP, ALTER USER

UPDATE, INSERT, DELETE

WRITE INTO, RAISE SIGNAL, {EXECUTE|CALL} PROCEDURE

objectserver

External Procedures

SQL コマンドによる ObjectServer データベースのデータ操作

Process Agent (PA) Process Agent (PA)

ローカルまたはリモートホスト上で外部スクリプトを実行

スクリプトスクリプト実行! 実行!

SQL Procedures

External Procedures

ローカル・ノードリモートノード

Object Serverのプロパティで指定PA.Name, PA.user, PA.password

実行ホスト・ユーザーはExternal Procedures定義で指定実行ホストおよびユーザーをExternal Procedures定義で指定


Proceduresとは

– 2種類の処理

• SQL procedures– SQL コマンドによる ObjectServer データベースのデータ操作

• External procedures– ローカルまたはリモートホスト上で外部スクリプトを実行

> Process Agentの構成が必須

– Procedure の呼び出し命令構文：

{EXECUTE|CALL} [ PROCEDURE ] <procedure名名名名> (<引数パラメーター引数パラメーター引数パラメーター引数パラメーター1>,...);

設定例)

• myproc という Procedure の呼び出し

EXECUTE PROCEDURE myproc(“text”,@Node);


SQL Procedures

使用する引数パラメーター

Procedure 名

処理の記述


External Procedure

実行するスクリプト(フルパス)

Procedure 名使用する引数パラメータ

コマンド実行するホスト名(Process Agentが解釈)

スクリプトの実行ユーザー/グループ


(参考) External Procedureコマンド引数の渡り方

[Triggers]: mail_on_critical → [External Procesures] send_email のケース

Triggersmail_on_critical

イベント受信

ExternalProceduressend_email

execute send_email( critical.Node, critical.Severity, ‘Netcool Email’,'root@localhost', critical.Summary, 'localhost');

[Arguments] '¥''+node+'¥'', severity,'¥''+subject+'¥'','¥''+email+'¥'','¥''+summary+'¥''

(注) シングルコーテーション内は文字列

$OMNIHOME/utils/nco_mail 'omnisvr', 4,'Netcool Command Major','root@localhost','Attempt to login as root from host omnisvr failed'

実行されるコマンド

(注）すべてシングルコーテーション。（ダブルコーテーションではない）

エンマーク ¥‘ はシングルコーテーションの無力化。


TEC事例をイメージしたAutomation実装の指針

抜粋：Redbook: SG24-7557-00 Best Practices for IBM Tivoli Enterprise Console to Netcool/OMNIbus Upgrade


主なイベント自動処理の実装方針

ISERedbook

Temporal Triggersを利用して、定期的にイベントのを利用して、定期的にイベントのを利用して、定期的にイベントのを利用して、定期的にイベントの鮮度をチェックし、該当すれば鮮度をチェックし、該当すれば鮮度をチェックし、該当すれば鮮度をチェックし、該当すればSeverityを変更するを変更するを変更するを変更する

参考参考参考参考Triggers ：：：：flash_not_ack

特定の条件（例：一定時間特定の条件（例：一定時間特定の条件（例：一定時間特定の条件（例：一定時間ACKされてない）のイベンされてない）のイベンされてない）のイベンされてない）のイベン

トの重要度を上げるトの重要度を上げるトの重要度を上げるトの重要度を上げる

エスカレーションエスカレーションエスカレーションエスカレーション

ISERedbook

任意の任意の任意の任意のTriggersからアクションでからアクションでからアクションでからアクションでExternal Proceduresの利用の利用の利用の利用

参考参考参考参考Triggers ：：：：mail_on_critical

特定のイベントをトリガーに特定のイベントをトリガーに特定のイベントをトリガーに特定のイベントをトリガーにしてコマンドを実行するしてコマンドを実行するしてコマンドを実行するしてコマンドを実行する

外部コマンド実行外部コマンド実行外部コマンド実行外部コマンド実行

RedbookDatabase triggersの利用して、の利用して、の利用して、の利用して、Insert時に条件時に条件時に条件時に条件チェックし、該当すれば属性を加える（チェックし、該当すれば属性を加える（チェックし、該当すれば属性を加える（チェックし、該当すれば属性を加える（extended attributeの利用も可能）の利用も可能）の利用も可能）の利用も可能）

イベントに任意の情報を属イベントに任意の情報を属イベントに任意の情報を属イベントに任意の情報を属性として補完する性として補完する性として補完する性として補完する

イベント属性補完イベント属性補完イベント属性補完イベント属性補完

RedbookDatabase triggersを利用して、を利用して、を利用して、を利用して、Insert時に条件チェッ時に条件チェッ時に条件チェッ時に条件チェックし、該当すればクし、該当すればクし、該当すればクし、該当すればdeleteするするするする

特定の内容を含むイベント特定の内容を含むイベント特定の内容を含むイベント特定の内容を含むイベントを除去するを除去するを除去するを除去する

フィルターアウトフィルターアウトフィルターアウトフィルターアウト

ISERedbook

Database triggersを利用して同一を利用して同一を利用して同一を利用して同一Identifierを持つを持つを持つを持つ

イベントをまとめる。イベントをまとめる。イベントをまとめる。イベントをまとめる。

参考参考参考参考Triggers：：：：deduplication

重複したイベントをまとめる重複したイベントをまとめる重複したイベントをまとめる重複したイベントをまとめる重複イベント対応重複イベント対応重複イベント対応重複イベント対応

実績実績実績実績OMNIbus実装方針（例）実装方針（例）実装方針（例）実装方針（例）説明説明説明説明ルールの機能ルールの機能ルールの機能ルールの機能

・OMNIbus実装方針はRedbook: SG24-7557-00 Best Practices for IBM Tivoli Enterprise Console to Netcool/OMNIbus Upgrade を参考にしています。ぜひ、Redbookもご参照ください。・これらの実装方針は一例であり、仕様を保証するものではありません。出発点としてご利用ください。


主なイベント自動処理の実装方針

RedbookDBテーブルを外部情報としてメンテナンス情報を書きテーブルを外部情報としてメンテナンス情報を書きテーブルを外部情報としてメンテナンス情報を書きテーブルを外部情報としてメンテナンス情報を書き込む。込む。込む。込む。Database Triggersを利用してを利用してを利用してを利用してInsert時に時に時に時にDBテーブルを参照しメンテナンス期間かどうかをチェックテーブルを参照しメンテナンス期間かどうかをチェックテーブルを参照しメンテナンス期間かどうかをチェックテーブルを参照しメンテナンス期間かどうかをチェックする。する。する。する。

メンテナンス時間帯に受信メンテナンス時間帯に受信メンテナンス時間帯に受信メンテナンス時間帯に受信したイベントを除去するしたイベントを除去するしたイベントを除去するしたイベントを除去する

計画停止対応計画停止対応計画停止対応計画停止対応

-対象から定期的にハートビートイベントを生成する。対象から定期的にハートビートイベントを生成する。対象から定期的にハートビートイベントを生成する。対象から定期的にハートビートイベントを生成する。ハートビートイベントはハートビートイベントはハートビートイベントはハートビートイベントはDeduplication Triggersで重で重で重で重複処理される。複処理される。複処理される。複処理される。Temporal Triggersで定期的にハートで定期的にハートで定期的にハートで定期的にハートビートイベントの鮮度をチェックして、一定時間更新さビートイベントの鮮度をチェックして、一定時間更新さビートイベントの鮮度をチェックして、一定時間更新さビートイベントの鮮度をチェックして、一定時間更新されていないイベントを見つける。れていないイベントを見つける。れていないイベントを見つける。れていないイベントを見つける。参考参考参考参考Triggers: expire

ハートビートイベントが一定ハートビートイベントが一定ハートビートイベントが一定ハートビートイベントが一定時間に到着しなかったこと時間に到着しなかったこと時間に到着しなかったこと時間に到着しなかったことを検知するを検知するを検知するを検知する

ハートビートハートビートハートビートハートビート

ISERedbook

Temporal Triggersで定期的にイベントの鮮度とで定期的にイベントの鮮度とで定期的にイベントの鮮度とで定期的にイベントの鮮度とSeverityをチェックし、該当すればをチェックし、該当すればをチェックし、該当すればをチェックし、該当すればdeleteするするするする参考参考参考参考Triggers: delete_clear

ハウスキーピングなどの目ハウスキーピングなどの目ハウスキーピングなどの目ハウスキーピングなどの目的でイベント的でイベント的でイベント的でイベントDBから特定から特定から特定から特定

のイベントを削除するのイベントを削除するのイベントを削除するのイベントを削除する

クリアリングクリアリングクリアリングクリアリング

RedbookTemporal Triggersで定期的にで定期的にで定期的にで定期的にTypeががががProblemおよおよおよおよびびびびResolutionのイベントの関係をチェックしのイベントの関係をチェックしのイベントの関係をチェックしのイベントの関係をチェックしResolutionイベントをクリアする。イベントをクリアする。イベントをクリアする。イベントをクリアする。参考参考参考参考Trigger: generic_clear

複数のイベントを突き合わ複数のイベントを突き合わ複数のイベントを突き合わ複数のイベントを突き合わせて相関関係をチェックしせて相関関係をチェックしせて相関関係をチェックしせて相関関係をチェックし処理する処理する処理する処理する

相関処理相関処理相関処理相関処理

ISERedbook

External Proceduresによる外部コマンド実行やによる外部コマンド実行やによる外部コマンド実行やによる外部コマンド実行やTEC Gatewayなどの機能を利用するなどの機能を利用するなどの機能を利用するなどの機能を利用する

イベントを外部のイベントイベントを外部のイベントイベントを外部のイベントイベントを外部のイベントサーバーへ転送するサーバーへ転送するサーバーへ転送するサーバーへ転送する

イベント転送イベント転送イベント転送イベント転送

実績実績実績実績OMNIbus実装方針実装方針実装方針実装方針説明説明説明説明ルールの機能ルールの機能ルールの機能ルールの機能

・OMNIbus実装方針はRedbook: SG24-7557-00 Best Practices for IBM Tivoli Enterprise Console to Netcool/OMNIbus Upgrade を参考にしています。ぜひ、Redbookもご参照ください。・これらの実装方針は一例であり、仕様を保証するものではありません。出発点としてご利用ください。


OMNIbusとTECの主な違い

� OMNIbusではではではでは…

– Triggersにおいて、イベント処理を記述する言語はSQLベース（TECでいうルール言語にあたる言語）

• データベースおよびSQLの基本スキルが必須

– 処理の制御（ON/OFFなど）が容易

• GUIで、Triggersの動的なON/OFFを比較的容易に制御できる

– オンメモリーDBを前提とした高速イベント処理が可能

• 標準で数多くのTriggersがONになっている

• 標準のTriggersにおいて、Deduplicationなど定期的な全件チェック処理も少なくない（DB高性能を前提とした実装）

– TECのtimer関数がみあたらない

• OMNIbusではTemporal（定期実行）やSignal Triggersの組み合わせにより、TECルールのtimer関数で実現していたほとんどの要件を実装できる

・ISE資料作成者の観察結果や私見を含みます。


メンテナンス編


起動＆停止

� OMNIbus

– 起動

${OMNIHOME}/bin/nco_objserv –name <OMNIbusサーバー名> &

– 停止

${OMNIHOME}/bin/nco_sql -user root -password password -servername < OMNIbusサーバー名>> alter system shutdown;> go

� Security Manager

– 起動

${NCSM_HOME}/bin/ncsm_server &

– 停止

${NCSM_HOME}/bin/ncsm_shutdown

� WebTop

– 起動

${NCHOME}/bin/ngf_server start

– 停止

${NCHOME}/bin/ngf_server stop

� 実行権限は導入時のユーザー


イベント（alert）保守①

� イベントのダンプ(wtdumper/wtdumprlの代わりとなるもの)

– nco_sqlからSelect文を実行

例1（WebTopのイベント・リストと同様の内容を出力する場合）

# $OMNIHOME/bin/nco_sql -user root -password password -servername NCOMS

> select Node,Summary,LastOccurrence,Severity,OwnerUID from alerts.status;

> go

例2（SQL実行部分をテキストファイル化してリダイレクトさせることも可能）

# $OMNIHOME/bin/nco_sql -user root -password password -servername NCOMS ＜＜＜＜ SQL文を記述したファイルのパス文を記述したファイルのパス文を記述したファイルのパス文を記述したファイルのパス

考慮点考慮点考慮点考慮点

�属性の種類が多く、単に「select **** from alerts.status」を実行してしまうと非常に見づらいため、属性の絞り込みを推奨

�出力結果は項目間のスペースが非常に多く、見やすい出力形式に整形するにはパイプ等を使用した作りこみが必要

�時刻がエポックタイム形式

�Severityが数値表示0 ・・・ Clear

1 ・・・ Indeterminate

2 ・・・ Warning

3 ・・・ Minor

4 ・・・ Major

5 ・・・ Critical出力結果を加工する作りこみを推奨


イベント（alert）保守②

� イベントの削除(wtdbclearの代わりとなるもの)

– nco_sqlからDelete文を実行

例1(SeverityがClearのイベントを削除)


> delete from alerts.status where Severity=0;

> go

例2 (受信してからX日経過したイベントを削除)

※ Last Occurrence という項目が使用できるが、DB内部の時刻表記はエポックタイム形式なので注意が必要


> delete from alerts.status where LastOccurrence < Epoch_Time;

> go

Epoch_Time＝現在時刻 – 86400 × 日数


OMNIbusサーバーのバックアップ＆リストア� 構成のみのバックアップ＆リストア

– DB構成内容のバックアップ＆リストア（nco_confpack）

1) 現在の構成一覧をリストファイルに出力

$OMNIHOME/bin/nco_confpack –list -server NCOMS –file <リストファイル名>

2) リストファイルを編集し、バックアップを取得したい構成要素を選択（※option）

3) リストファイルの内容に基づき構成をエクスポート（出力はjarファイル形式）

$OMNIHOME/bin/nco_confpack –export -file <リストファイル> –package <バックアップファイル>

4) リストアは以下のコマンドで行う

$OMNIHOME/bin/nco_confpack –import -server BACKUP –package <バックアップファイル>

– その他必要なもの• $OMNIHOME/etc/以下のプロパティファイル

エクスポートできる構成要素エクスポートできる構成要素エクスポートできる構成要素エクスポートできる構成要素�Triggers

�Trigger groups

�Procedures

�User defined signals

�Menus

�Tools

�Prompts

�Classes

�Conversions

�Column visuals

�Colors

�Users

�Groups

�Roles

�Tables

�Views

�Restriction filters

�ObjectServer file definitions

�バックアップ＆リストア時にはOMNIbus起動が必須

�受信したalertは対象外

�Triggerで自動実行されるスクリプトの実体もエクスポート可能

�ユーザ、グループ、権限はOMNIbusのもので、Security Managerのユーザーレジストリーとは異なる

�システムのユーザ、グループなど、OS関連の構成情報は対象外

�ruleは各Probeの構成ファイルとなるため対象外

�OMNIbus DBのスキーマを事前に合わせていないとのスキーマを事前に合わせていないとのスキーマを事前に合わせていないとのスキーマを事前に合わせていないとリストア時に失敗するリストア時に失敗するリストア時に失敗するリストア時に失敗する


OMNIbusサーバーのバックアップ＆リストア

� 受信したalert内容も含めたDBおよび構成のバックアップ＆リストア（※検証ベース）

1) OMNIbus DBのバックアップを取得# $OMNIHOME/bin/nco_sql -user root -password password -servername NCOMS1> alter system backup ‘バックアップ先ディレクトリ';2> go

→バックアップ先ディレクトリに拡張子tabのファイルが2つ作成される

2) nco_confpackで構成をエクスポート

3) リストア先OMNIbusを停止

4) バックアップ先ディレクトリに作成されたtabファイルをリストア先OMNIbus上の以下ディレクトリにコピー$OMNIHOME/db/NCOMS/

5) リストア先OMNIbusを再起動

6) nco_confpackで構成をインポート

7) $OMNIHOME/etc/以下のプロパティファイルをリストア


Security Managerのバックアップ＆リストア

� Security Manager DB（ユーザーレジストリ）のバックアップ

– 1) Security Managerを停止（※Onlineバックアップは不可）

# $NCSM_HOME/bin/ncsm_shutdown

– 2) バックアップ取得

# $NCSM_HOME/bin/ncsm_db backup -backupfile <バックアップファイル名>

� Security Manager DB（ユーザーレジストリ）のリストア

– 1) バックアップファイルを設置し、リストアコマンドを実行

# $NCSM_HOME/bin/ ncsm_db restore –backupfile <バックアップファイル名>

– 2) Security Managerを起動

# $NCSM_HOME/bin/ncsm_server &

� その他必要なもの

– $NCSM_HOME/etc以下のファイル


（参考）OMNIbus関連ログ①

※1：デフォルトではサイズ上限なし ISE調べ（2008/07）

種別ロケーションログファイル名世代管理世代数の変更ファイルサイズ上限の変更NCOMS.log file size ×（1世代） ○NCOMS_audit_file.log × - -NCOMS_profiler_report.log1 不明不明不明NCOMS_trigger_stats.log1 file size 不明不明NCO_GATE.log file size ×（1世代） ○NCO_PA.log file size ×（1世代） ○nco_config_audit.log file size ○ ○nco_config_system.log file size ○ ○各Probeのログ Probeによる - -SM_actiontreelogger.log file size 不明不明SM_server.log 起動時 ×（1世代） ×SM_servletservice.log 起動時 ×（1世代） ×

/opt/netcool/security/app3p/ja

karta-tomcat-4.1.8/logscatalina.YYYY-MM-DD.log × - -

access.log × - -autoconfig.log file size ○ ○db.log 不明不明不明dev.log file size ○ ○loginmodule.log file size ○ ○ncgfncsm.log file size 不明不明ncsmMapping.log file size ○ ○ngf.log file size ○ ○ngf.out file size ○ ○sso.log file size ○ ○tomcat.log file size ○ ○torque.log file size ○ ○turbine.log file size ○ ○velocity.log file size ○ ○webtop.log file size ○（※1） ○（※1）perfmetrics.log file size ○（※1） ○（※1）

導入 /opt/netcool/log/install ncisetup.log × - -NCOMS_vendor.log 不明不明不明NCO_GATE_vendor.log 不明不明不明T_GATE_vendor.log 不明不明不明

不明 /opt/netcool/log

/opt/netcool/log/guifoundation

OMNIbus

Security

Manager

/opt/netcool/omnibus/log/

/opt/netcool/security/log

Webtop

/opt/netcool/log


（参考）OMNIbus関連ログ②種別ログファイル名ロケーション変更設定ファイル

NCOMS.log ○ /opt/netcool/omnibus/etc/NCOMS.propsNCOMS_audit_file.log ○ /opt/netcool/omnibus/etc/NCOMS.propsNCOMS_profiler_report.log1 不明 -NCOMS_trigger_stats.log1 ○ /opt/netcool/omnibus/etc/NCOMS.propsNCO_GATE.log ○ /opt/netcool/omnibus/etc/NCO_GATE.propsNCO_PA.log 不明不明（rotateしていることは確かだが構成ファイル発見できず）nco_config_audit.log × /opt/netcool/omnibus/etc/nco_config.propsnco_config_system.log × /opt/netcool/omnibus/etc/nco_config.props各Probeのログ - -SM_actiontreelogger.log × 不明SM_server.log ○ /opt/netcool/security/etc/SM_server.propsSM_servletservice.log × -

catalina.YYYY-MM-DD.log 不明 -

access.log ○ /opt/netcool/guifoundation/webapps/desktop/WEB-INF/conf/log4j.propertiesautoconfig.log ○ /opt/netcool/guifoundation/common/classes/log4j.propertiesdb.log × 不明dev.log ○ /opt/netcool/guifoundation/common/classes/log4j.propertiesloginmodule.log ○ /opt/netcool/guifoundation/common/classes/log4j.propertiesncgfncsm.log × 不明ncsmMapping.log ○ /opt/netcool/guifoundation/common/classes/log4j.propertiesngf.log ○ /opt/netcool/guifoundation/webapps/desktop/WEB-INF/conf/log4j.propertiesngf.out ○ /opt/netcool/guifoundation/common/classes/log4j.propertiessso.log ○ /opt/netcool/guifoundation/common/classes/log4j.propertiestomcat.log ○ /opt/netcool/guifoundation/common/classes/log4j.propertiestorque.log ○ /opt/netcool/guifoundation/webapps/desktop/WEB-INF/conf/log4j.propertiesturbine.log ○ /opt/netcool/guifoundation/webapps/desktop/WEB-INF/conf/log4j.propertiesvelocity.log ○ /opt/netcool/guifoundation/webapps/desktop/WEB-INF/conf/log4j.propertieswebtop.log ○ /opt/netcool/etc/webtop/server.initperfmetrics.log ○ /opt/netcool/etc/webtop/server.init

導入 ncisetup.log × -NCOMS_vendor.log 不明 -NCO_GATE_vendor.log 不明 -T_GATE_vendor.log 不明 -

不明

OMNIbus

Security

Manager

Webtop

ISE調べ（2008/07）


補足情報

� Tivoli Netcool マニュアルサイト

http://publib.boulder.ibm.com/infocenter/tivihelp/v8r1/index.jsp?topic=/com.ibm.help.ic.doc/using_system/about_the_system.html

� プロダクトサポートサイト(OMNIbus)

http://www-306.ibm.com/software/sysmgmt/products/support/IBMTivoliNetcoolOMNIbus.html

� プロダクトサポートサイト(Webtop)

http://www-306.ibm.com/software/sysmgmt/products/support/IBMTivoliNetcoolWebtop.html

� プロダクトサポートサイト(Security Manager)

http://www-306.ibm.com/software/sysmgmt/products/support/NetcoolforSecurityManagement.html

� プロダクトサポートサイト(Netcool GUI)

http://www-306.ibm.com/software/sysmgmt/products/support/NetcoolGUI.html

tivoli update ws2008 netcool

Technology