アラートの基本

管理デバイスのアラートを生成するには、そのデバイスに エンドポイント マネージャ アラート エージェントを配布する必要があります。デバイスに標準エージェントをインストールすると、既定のアラート エージェントとアラート ルールセットを各管理デバイスに配布できます。このエージェントは、デバイスのアラート ルールセットに定義されたルールに従います。

カスタム ルールセットを定義していれば、デバイスに配布して、そのデバイスに特有の項目を監視できます。デバイスには複数のルールセットを配布できますが、異なるルールセットに同様のルールがあると競合が発生する可能性があります。

アラートを生成できるイベント

この製品には、アラートを生成する多数のイベントのリストが含まれています。イベントによってはコンポーネントの障害やシステムのシャットダウンなど、直ちに対処を必要とするものがあります。また、デバイスのパフォーマンスや安定性に影響を及ぼしたり、通常のインストールで問題の起因となる変更など、システム管理者に有用な情報を提供する構成上の変更を示すイベントもあります。

監視できるイベント タイプの例:

  • ハードウェアの変更 :プロセッサ、メモリ、ディスク ドライブ、ネットワーク カードなど、追加または削除されたコンポーネント。
  • アプリケーションが追加または削除された :ユーザがデバイスにアプリケーションをインストールした、またはデバイスからアプリケーションをアンインストールした。これは、ライセンスや従業員の生産性を追跡するときに役立ちます。Windows の [プログラムの追加と削除] に登録されているアプリケーションを監視することができます。ここで、[プログラムの追加と削除] に含まれるアプリケーション名はアラート通知にそのまま使用されます。
  • サービス イベント :デバイス上でサービスが開始または停止しました。
  • パフォーマンス :ドライブ容量、利用可能メモリなどのパフォーマンスしきい値を超えました。
  • IPMI イベント :コントローラ、センサ、ログの変更など、IPMI デバイスで検出可能なイベントが発生しました。
  • モデム用途 :システム モデムが使用されているか、モデムが追加または削除されました。
  • 物理セキュリティ :検知されたシャーシ侵入、パワー サイクル、その他の物理的変更が行われました。
  • パッケージのインストール :ターゲット コンピュータ上にパッケージがインストールされました。
  • リモート コントロール アクティビティ :開始、停止、失敗などのリモート コントロール セッション アクティビティが発生しました。

構成の変更によるアラート記録を表示するには、デバイスのリアルタイム インベントリと監視コンソールでアラート ログを確認します。

アラートは、デバイスに必要なハードウェアが設定されている場合のみ生成されます。たとえば、センサ読み取り値から生成されるアラートは、デバイスに正しいセンサが搭載されている場合にのみ適用されます。

ハードウェアは構成が正しく行われていないと正常に監視されません。たとえば、S.M.A.R.T. 監視機能を持つハード ドライブがデバイスにインストールされているが、S.M.A.R.T. 検出がデバイスの BIOS 設定で有効になっていない場合、またはデバイスの BIOS が S.M.A.R.T. ドライブをサポートしていない場合、アラートは S.M.A.R.T. ドライブ監視からは生成されません。

イベントの重要度レベル

デバイス上の問題またはイベントは、次に示す重要度レベルのうちの一部またはすべてに関連付けることができます。製品インターフェースによっては、これらの状態は数値と関連付けられたアイコンで表示されます。数値にはカッコが付きます。

  • 情報(1):製造元がシステムに導入したサポート構成の変更やイベントなど。この重要度レベルはデバイスの健全性には影響しません。
  • OK (2):現状を維持しても差し支えないことを表します。
  • 警告 (3):問題がクリティカル ポイントに達する前にその問題を事前に警告します。
  • 重要 (4):問題にすぐ対処する必要があることを表します。
  • 不明 :アラート ステータスが判別できないか、または監視エージェントがデバイスにインストールされていません。

イベントまたはサーバ上の問題の性質によっては、重要度レベルが適用されなかったり、重要度レベルがないものもあります。たとえば、侵入検知イベントの場合、デバイスのシャーシは開いているか、閉じています。通常、アラート アクションは重要度レベルが [警告] のときにトリガされます。ディスク領域や仮想メモリなど、その他のイベントには 3 つの重要度レベルがあります (OK、警告、重要)。これはステータスを表示することで管理者が適宜に判断できるようにするためです。

一部のアラートについて、アラートを呼び出す重要度レベルまたはしきい値を設定できます。たとえば [警告] ステータスに 1 つのアクションを選択し、[重要] ステータスに別のアラート アクションを指定できます。[不明] ステータスは、ステータスが判断できないということを表しているのみであるため、アラート トリガには選択できません。

通知のアラート アクション

この製品は以下のいずれかを行ったために監視イベントが発生したときに通知を送信します。

  • ログへの情報の追加
  • 電子メールによる通知またはポケットベル メッセージの送信
  • コア サーバまたは個別デバイス上でのプログラムの実行
  • ネットワーク上の SNMP Management コンソールへの SNMP トラップの送信
  • デバイスの再起動とシャットダウン

アラート ルールセットを定義するときに、アラート アクションが設定されます。

アラート ストーム コントロール

デバイス グループに割り当てられた特定のアラート ルールによっては、同時に多数の応答が生成される場合があります。たとえば、コンピュータ構成の変更アラートを設定し、これを電子メール アクションに関連付けることができます。このアラート ルールが設定されたデバイスにソフトウェア配布パッチが適用されると、コア サーバから多数の電子メールが生成されます。その数は、パッチが適用されたデバイスの台数に等しく、電子メール サーバにアラート通知が集中してサーバが停止する可能性があります。

本製品のアラート ストーム コントロール機能はアラートに対して発生するアラート アクション数を自動的に制限します。ここでアラートが 5 分以内にアクションを 5 回トリガした場合、アラート アクションは続行しませんが、コア ログ ファイルには書き込まれます。アラート ストームは管理者に電子メールで自動的に通知されます。アラートが 1 時間経過しても発生しない場合、そのアラートのアラート ストーム コントロールがリセットされます。後になってそのアラートが発生するとアラート アクションが再びトリガされます。