「時間集約」で不要なアラートを大幅に減らしませんか？

システム監視を運用している現場では、アラートメールの件数が多くてお困りだという話がとても多いです。
「決まった時間帯に同じ内容のアラートメールが連続して来る」
「このアラートは3回連続して起きると危険なので察知したい」
「そもそも不要なアラートメールが多すぎる」

このようなお困りごとを解決するためにAMCでは3つの集約機能を用意しています。

連載の1回目は時間集約について紹介いたします。

一定時間の同一アラートを1個に！集約結果もお知らせします

日々の運用でよくあるケースとして、短い時間に連続してアラートが発生してしまい、対応に追われてしまうことがあります。特に通信系のエラーの場合は同じエラーメッセージが集中して通知されることが多く、障害発生連絡に時間がかかったり、他の重要なメッセージを見落としたりすることも少なくありません。
こうした状況を改善するためには頻発する通知を減らすことが対策の１つです。
AMCの時間集約では一定時間内に発生したアラートメールを1通のみ通知することができます。
例えば、同じ箇所の通信エラーが連続して発生しているような場合、10分間に受信した同一アラートメールを、最初の１件だけエスカレーションするというふうに集約できるのです。

一定時間というのは、集約する時間を分単位で指定して決めることができます。
また同一アラートかどうかはパターン(AMCではフィルタリングをパターンマッチと呼んでいます)の条件を指定することで判定します。パターンでは正規表現を使ったキーワード条件などを指定できますが、パターンマッチについては別の機会に紹介します。

【集約機能のパターン設定例】

このように同一アラートを1件に集約して通知する時間集約を使うことで、通知のラッシュを抑止し、埋もれがちな原因メッセージの見落としを防ぐことができるのです。
また運用担当者は事象を整理・報告するために発生時間や件数を把握する際、個々に確認するのは大変ですね。
AMCでは集約時に最初の一件だけ通知したあと、集約結果をメールでお知らせすることもできるのですよ。どの時間帯に発生したアラートを何件集約したかがひとめでわかるようになっています。

【1通目のメール通知内容】

【集約結果のメール通知内容】

集約結果をメールでお知らせするかどうかは設定でON/OFFできます。

集約機能を使うことで重複する通知を削減することが可能なので、電話により自動通報する場合には集約機能(時間集約、件数集約)を利用することを推奨しています。

おわりに

今回のブログはいかがでしたでしょうか？
AMCの時間集約を使うことで、同一のアラートメールがラッシュしてもエスカレーションするのは１回だけに抑えることができます。重複するアラートメールを削減することができ、対応工数の削減、障害連絡時間の短縮、重要アラートの見落とし防止が見込めます。
本機能は電話通知と合わせて活用すると効果的です。

本ブログは皆様から頂いた様々なお問合せを参考にして更新しております。今後も皆様のお役に立つ情報を発信して行きたいと考えておりますのでWebSAM Automatic Message Callブログをよろしくお願いいたします。

[参考情報]
https://jpn.nec.com/websam/automaticmessagecall/download.html
　⇒WebSAM Automatic Message Call 紹介資料

製品紹介資料ダウンロード
※ダウンロードには会員登録が必要です