Home
イベント
概要
Pandora FMS のイベントシステムでは、監視対象のシステムで発生するすべてのイベントのリアルタイムの記録を見ることができます。 デフォルトでは、イベントビューにその時点で何が起こっているかを示すスクリーンショットが表示されます。
イベントは記録であり、監視システムの基本的な部分です。
イベントは重要度に応じて分類されます。
- 0 メンテナンス(Maintenance) (白/グレー)
- 1 情報(Informative) (青)
- 2 正常(Normal) (緑)
- 3 警告(Warning) (黄)
- 4 障害(Critical) (赤)
- 5 マイナー(Minor) (ピンク)
- 6 メジャー(Major) (茶)
イベントでは次の処理を実行できます。
- 状態の変更 (承諾または処理中)
- 所有者の変更
- 削除
- 追加情報の表示
- コメントの追加: 情報を提供し、検索をフィルタリングするために使用できる任意のテキスト。必要に応じて、イベントカスタム ID(Event Custom ID) フィールドに対しても、MarkDown 形式 (
[](URL)) で URL を追加できます。 - カスタム応答の実施
一般情報
イベントは、操作(Operations) → イベント(Events) → イベント表示(View Event) から管理できます。
イベントビューワには各イベントの概要が表示され、イベントを生成したエージェントのモジュール、グループ、モジュールに関連付けられたタグなどの他の関連データが表示される場合もあります。また、識別子、ステータス、名前などのフィールドでイベントを並べ替えることもできます。
虫めがねアイコンをクリックすると、イベントの詳細が表示されます。
- ユーザは "すべて" グループ に属していない場合、自身が属するグループのみ参照できます。
- セカンダリエージェントグループに属するエージェントが存在し、ユーザがそれらのセカンダリグループのいずれかに属している場合、ユーザがセカンダリグループに属するエージェントを表示できるように、セカンダリグループ内を検索(Search in secondary groups)オプションを有効にする必要があります。このオプションは、PFMS サーバに追加の負荷をかける可能性があります。
- Pandora FMS は、監視システムに対してユーザーが設定した制限を超えたことを通知するためにイベントを使用することもできます。たとえば、バージョン NG 754 以降では、特定のグループにエージェントの制限を設定する ことが可能になり、この制限に達するとイベントで表示されます。
イベントは、デフォルトで過去 8 時間かつ承諾されていない ものが表示されます(カスタマイズも可能)。冗長な出力を避けるためにグループ化されます。検索をフィルタとして保存したり、以前に作成したフィルタ を適用したりできます。
イベント操作
イベントの承諾と状態、自動承諾
イベントは、4つの異なる状態を持ちます。
- 処理中(In process)
- 新規(New)
- 未承諾(Not validated)
- 承諾済(Validated)
自動承諾
モジュール状態の変更によりイベントが発生した場合、通常は 2つのイベントが発生します。最初のイベントは通常状態から “障害” 状態への変化であり、2番目のイベントは問題が解決すると正常に戻るイベントです。 このような場合、障害状態(障害 または警告)になっているイベントは、通常に戻ったときに自動的に承諾されます。 これはいわゆるイベント自動承諾であり、非常に便利な機能です。
手動承諾
手動でもイベントを承諾できます。システムは日付とイベントを承諾したユーザを記憶し、状況に関するコメントを記録することもできます。その後、画面が更新され、承諾されたイベントは非表示になります。
さらに、アクションには、ホストへの ping やユーザの割り当てなどのカスタマイズされた応答の実行など、さらに多くのオプションがあることに注意してください。
処理中
イベントは、応答 タブで「処理中」としてチェックできます。これにより、イベントは自動的に承諾されず、保留中のままになります。
個別またはバッチ処理
対応するアイコンをクリックするか、選択範囲に適用された一括処理を実行することで、イベントを承諾したり、「処理中」としてチェックしたり、個別に削除したりできます。
カスタム応答の場合、操作を適用できるイベントの最大数は 10 に制限されます。
イベントのフィルタリング
この機能の重要な点:
- フィルタは保存して、後で再び使用することができます。
- 古いイベントの制限 (最大経過時間(Max. hours old)) はカスタマイズできます。
- Pandora FMS はデフォルトで繰り返されるイベントをグループ化しますが(複製(Duplicate) → グループイベント(Group events))、この設定を変更してイベントを個別に表示することができます。
- 全イベント(All events): 全イベントを個別表示します。
- グループエージェント(Group agents): エージェントごとにイベントをグルーピングします。
- グループイベント(Group events): 重複を識別するために、イベント名、エージェント ID、およびモジュール ID を使用します。
- グループ拡張 ID(Group Extra IDs): イベントは 拡張 ID のみでグループ化され、タイムスタンプ で並べ替えられます。
- 特定のグループでフィルタリングできます。 子グループを含める(Group recursion) オプションを使用すると、そのグループのサブグループも検索されます。 同様に、セカンダリ グループで検索(Search in secondary groups) を選択すると、セカンダリグループが割り当てられたエージェントのイベントを含めることができます。 これらの最後の 2 つのオプションは、Pandora FMS サーバの処理に影響を与える可能性があります。
高度なオプション
- 開始(日付)と終了(日付) の日付フィールドを使用して、特定の期間内に発生したイベントを検索できます。
- 自由検索 フィールドでは、正規表現を使用できます (たとえば、
ConnectionsとNetworkを検索するには、(Connections|Network)と入力します)。 検索は、エージェント名、イベント名、追加 ID、ソース、カスタムデータ、およびコメントによって実行されます。 - フィールド名でカスタム データをフィルタする もしくは フィールド値でカスタムデータをフィルタする を通じて、カスタムデータフィールドフィールドを用いたカスタムフィールドでのフィルタができます。 これらのフィールドは、イベント表示の列として表示されます。
ピン留めフィルタ
最も頻繁に使用されると考えられる保存済みのイベントフィルターは、ピン留めアイテムセクション(操作(Operation) → 
ピン留め(Pinned) メニュー)に追加できます。これを行うには、まずフィルターを読み込み、次にプッシュピンアイコン 
をクリックします。
をもう一度クリックすると、アイコンのチェックを外して、ピン留めされたアイテムから削除できます。
イベントの削除
イベントは、個別に(手動で)または自動的に削除できます。メニュー 管理(Management) → セットアップ(Setup) → セットアップ(Setup) → イベントが削除されるまでの最大日数 で、イベントを保存する期間を日数で指定します。
管理(Management) → セットアップ(Setup) → セットアップ(Setup) → ヒストリデータベース(Historical database) で イベント履歴を有効にする を有効にすると、特別なレポートを作成する目的でそれらを保持することができます。
RSS イベント
- RSS イベントへアクセスするには、アクセスを許可する IP アドレスを設定する必要があります。設定は、セットアップ(Setup) メニューの APIアクセスを許可するIPアドレスリスト(IP list with API access) にて行います。
- また、Inoreader、Selfoss、またはその他好みの RSS リーダも必要になります。
ニュース フィードでイベントを表示するには、操作(Operation) → イベント(Events) → RSS にアクセスし、そのリンクを使用して、好みのニュースリーダから購読できます。
イベントサウンドコンソール
イベントが発生したときにサウンドアラートを鳴らすことができます。サウンドイベントを一時停止するか、OK ボタンを押すまで、曲が再生されます。
音を発生させるデフォルトのサウンドイベント一覧は次の通りです。(カスタマイズできます。)
- アラート発生
- モジュールが 警告 状態になった場合
- モジュールが 障害 状態になった場合
- モジュールが 不明 状態になった場合
メニュー 操作(Operation) → イベント(Events) → 音響コンソール(Acoustic console): このオプションを選択すると、すべてのサウンドイベントを制御するためのポップアップ ウィンドウが開きます。ポップアップウィンドウを開くには、Web ブラウザーを設定する必要があります。
音響コンソールウィンドウを最小化すると、期待どおりに動作しなくなります。
サウンドイベントは 10 秒ごとに非同期でスキャンされ、イベントが発生すると、ウィンドウが赤く点滅して振動し始めます。また、ブラウザやオペレーティングシステムの構成に応じて、ウィンドウはフォーカスを維持し、開いている他のウィンドウよりも前に配置されます。
そのウィンドウが開いている間、選択したアイテムと一致し、アラートが設定されているイベントについてのみ、サウンドアラートが表示されます。
拡張設定
管理(Management) → 
管理ツール(Admin tools) → アコースティックコンソール設定(Acoustic console setup) → 作成(Create) メニュー。
新しいメロディーを追加するには、これらのファイルをWAV形式で、次のディレクトリにコピーします。
/var/www/pandora_console/include/sounds/
イベントの CSV へのエクスポート
イベントを CSV 形式でエクスポートするには、操作(Operation) → イベント(Events) → イベントの表示(View events) → CSV ファイルにエクスポート(Export to CSV file) をクリックします。
イベントアラート、イベント相関
Pandora FMS リリース 741 以降、イベント関連のアラートパフォーマンスを改善することを目的とした一連の変更を行いました。これに関する詳細は、アラート相関: イベントおよびログアラート を参照してください。
コマンドラインイベント
イベント作成と承諾
Pandora FMS 外部 API は、/include/api.php ファイルの(HTTPS を通した)リモート呼び出しによって利用します。これは、サードパーティのアプリケーションを統合するために Pandora FMS で定義されている方法です。これは、Pandora FMS を操作するための値または値のリストを受け取るフォーマットされたパラメータと共に行う呼び出しで構成されます。
Pandora FMS の API を有効化するには 3つのポイントがあります。
- コマンドの実行元 IP の API アクセスを有効にします。
- API パスワードを設定します。
- ログインもしくは、API アクセス用のユーザの ユーザ名/パスワード を使います。
Pandora FMS API によってイベントを作成または承諾するための専用ツールは、以下からコピーできます。
/usr/share/pandora_server/util/pandora_revent.pl
クライアントデバイスからパラメータ無しで実行すると、書式を見ることができます。
イベントを承諾するためのオプションは次のとおりです。
./pandora_revent.pl \ -p <path_to_consoleAPI> \ -u <credentials> \ -validate_event <options> \ -id <id_event>
生成されたイベントの詳細にunknown 、critical または warning フィールドを表示するには、そのイベントがgoing_unknown 、going_down_critical 、または going_down_warning である必要があります。
セキュリティ上の理由などにより、イベント作成オプションのみが必要になる場合があります。この場合は、クライアントデバイスに pandora_revent_create.pl をコピーします。次の場所にあります:
/usr/share/pandora_server/util/pandora_revent_create.pl
このツールは、pandora_revent.pl と同様の機能を共有します。
イベントでのカスタムフィールドの利用
カスタムフィールドのあるイベントは、Pandora FMS の CLI から生成できます。
pandora_manage /etc/pandora/pandora_server.conf \ --create_event 'Custom event' system Firewalls \ 'localhost' 'module' 0 4 '' 'admin' '' '' '' '' \ '{"Location": "Office", "Priority": 42}'
イベント設定
管理(Management) → 設定(Configuration) → イベント(Events) を使用すると、次の設定が可能です。
- カスタムカラム
- 応答
- フィルタ設定
イベント表示カスタマイズ
イベントビューワにデフォルトで表示されるフィールドをカスタマイズすることができます。それには、イベント(Events) → イベント参照(View events) から、イベント管理(Manage events) → カスタムフィールド(Custom columns) へ行き、表示するフィールドを選択します。
デフォルトのフィールドは 5 つですが、追加できるフィールドがさらにあります。
- イベントID(Event ID) : イベントID
- エージェント名(Agent name) : エージェント名
- ユーザ(User) : イベント作成ユーザ
- グループ(Group) : モジュールが所属するグループ
- イベントタイプ(Event type) : イベントタイプ
- モジュール名(Module name) : モジュール名
- アラート(Alert) : イベントに紐づいているアラート
- 重要度(Severity) : イベントの重要度
- コメント(Comment) : イベントのコメント
- タグ(Tags) : モジュールタグ
- ソース(Source) : イベントソース
- 拡張ID(Extra ID) : 拡張ID
- 所有者(Owner) : 所有者
- ACKタイムスタンプ(ACK Timestamp) : イベントが承諾された日時
- 手順(Instructions) : 障害または警告時の手順
- サーバ名(Server name) : イベント発生元サーバの名前
- データ(Data) : イベントで報告された数値データ
- モジュールの状態(Module status) : モジュールの現在の状態
- モジュールカスタム ID(Module custom ID): モジュールのモジュールカスタムIDフィールドの値。
イベントフィルタの作成
メニュー 管理(Management) → 設定(Configuration) → イベント(Events) → イベントフィルタ(Events filters)。
イベント表示に適用されるフィルタを作成、削除、編集できます。保存したら、イベント表示(View events) に移動して適切なフィルタを読み込むことができます。
イベント応答
概要
管理(Management) → 設定(Configuration) → イベント(Events) → イベント応答(Event responses) メニュー。
Pandora FMSでは、イベント応答(Event responses)内のマクロを使用すると、イベントが発報されたときに自動的に実行されるアクションをカスタマイズできます。これらのマクロは、発生したイベントからの特定のデータでリアルタイムに置き換えられる変数として機能します。
マクロとは、バッククォートで囲まれたテキストタグ(例:_user_id_)で、アクション(メール送信、スクリプト実行、Webhookトリガーなど)が実行されると、自動的にコンテキストに応じた値に置き換えられます。
これらは、アクションなどの PFMS のさまざまなセクションや、イベント応答(イベント応答(Event responses))内で使用されます。多くのマクロは、異なるタイプの実装で共通です。
イベントに含まれる IP アドレスをコマンドに渡すために、_agent_address_ マクロを使用する方法の例:
イベント応答マクロ
| マクロ | 説明 |
|---|---|
_agent_address_ | エージェントアドレス |
_agent_alias_ | エージェントの別名 |
_agent_id_ | エージェント ID |
_agent_name_ | エージェント名 |
_alert_id_ | イベントに関連付けられたアラート ID |
_command_timeout_ | コマンド応答時間(秒) |
_current_user_ | 応答を実行するユーザ ID |
_current_username_ | 応答を実行するユーザ名 |
_customdata_json_ | JSON 形式のカスタムデータから情報を取得します |
_customdata_text_ | すべてのカスタムデータをテキストモード(改行あり)で出力します |
_customdata_X_ | カスタムデータから特定のフィールドを取得し、X をフィールド名に置き換えます |
_event_date_ | イベントが発生した日付 |
_event_extra_id_ | 拡張 ID |
_event_id_ | イベント ID |
_event_instruction_ | イベント手順 |
_event_severity_id_ | イベント重要度 ID |
_event_severity_text_ | イベント重要度(Pandora FMS コンソールによる表記) |
_event_source_ | イベントソース |
_event_status_ | イベント状態 (new, validated または event in process). |
_event_tags_ | カンマ区切りのイベントタグ |
_event_text_ | イベントテキスト |
_event_type_ | イベントのタイプ: * Monitor in critical status. * Monitor in warning status. * Monitor in normal status. * Unknown. * Unknown Monitor. * Alert triggered. * Alert recovered. * Alert stopped. * Manual alert validation. * Agent created. * Recon host detected. * System. * Error. * Configuration change. * Network configuration manager. |
_event_utimestamp_ | イベントが発生した日付を utimestamp 形式で示します |
_group_id_ | グループ ID |
_group_name_ | データベースにおけるグループ名 |
_group_contact_ | エージェントのグループにおける連絡先情報 |
_module_address_ | イベントに関連付けられたモジュールのアドレス |
_module_id_ | イベントに関連付けられたモジュール ID |
_module_name_ | イベントに関連付けられているモジュールの名前 |
_node_id_ | コマンドセンター(メタコンソール)およびノードの場合: ノード ID を返します |
_node_name_ | コマンドセンター(メタコンソール)とノードの場合: ノード名を返します |
_owner_user_ | イベントの所有者であるユーザ |
_owner_username_ | イベントの所有者であるユーザのフルネーム |
_user_id_ | ユーザ ID |
