alexa Alerting, Escalation and Event Log Management in NetCrunch

Alerting, Escalation and Event Log Management in NetCrunch

NetCrunch peut agir comme un serveur de messages pour les événements externes. Il conserve les messages dans la base de données des événements NetCrunch et réalise les actions définies quand un message est reçu.

Alert Sources

Déclencheurs pour métriques de performance

NetCrunch peut suivre des milliers de mesures de performance. Indépendamment de l'origine de la métrique, les utilisateurs peuvent toujours utiliser le même ensemble de conditions pour déclencher des alertes sur les valeurs réelles ou leur moyenne.

Outre la fixation de seuils simples, NetCrunch offre des déclencheurs plus avancées, y compris déclencheur selon une référence comparant les données réelles à des données de base recueillies précédemment pour chaque heure et chaque jour de la semaine.

Un autre déclencheur utile est celui d'état qui vous permet de suivre les changements d'une valeur discrète (par exemple un changement de valeur de 0 à 1). Dans cette situation, le compteur représente le statut d'un service ou d'un dispositif.

Types de déclencheurs disponibles:

  • seuil
  • Seuil de déviation
  • Seuil de référence
  • État
  • Constance
  • Valeur existante ou manquante
  • Delta
  • Fourchette

déclencheurs d'événement

Alerte d'état

NetCrunch surveille l'état de nombreux objets internes tels que: les nœuds, les interfaces, les services, les services Windows et plus encore. Ces alertes sont automatiquement corrélées.

Sondes

NetCrunch utilise des sondes pour des tâches de surveillance plus complexes tels que la vérification du contenu d'un fichier, l'envoi et la réception de courriels, la vérifaction de page web et de réponse HTTP.

Journal des évènements Windows

NetCrunch peut collecter à distance, analyser et filtrer les données provenant de différent serveurs Windows.

Cela permet de définir simplement des alertes afin de convertir des évènements Windows en alertes NetCrunch. En outre, le programme regroupe les événements survenant dans un même laps de temps afin de protéger le système d'alerte contre les surcharges.

@@event-log-query.png Journal des événements Windows Générateur de requêtes

Syslog, SNMP Traps & fichier journal

NetCrunch reçoit des traps SNMPv1, SNMPv2 et SNMPv3. Il peut également transférer tous les traps reçus vers un autre logiciel utilisant SNMP.

NetCrunNetCrunch peut agir comme un serveur syslog. Vous pouvez définir des filtres pour les messages entrants afin de définir pour chaque message des actions appropriées .

Alertes par l'exemple

Tous les traps SNMP entrants et les messages syslog (même ceux des nœuds non présents dans Atlas) sont visibles dans la fenêtre des événements externes. D'un simple clic, les utilisateurs peuvent les convertir en alertes (le nœud sera ajouté à l'atlas si nécessaire). De cette façon, NetCrunch vous permet de définir des alertes pour les traps par l’exemple.

Supervision des fichiers journaux

La sonde de fichier NetCrunch est capable de surveiller les fichiers journaux et peut être utilisé pour surveiller les fichiers Linux via FTP/S ou HTTP/S.

Données externes

NetCrunch propose plusieurs manières de lui fournir des données. Cela peut concerner des compteurs de performance ou des valeurs discrètes représentant un code d'erreur ou un état. Dans les deux situations NetCrunch peut déclencher des alertes concernant ces valeurs.

Open Monitor

Alert Processing

Corrélation des alertes en attente

Toutes les alertes internes sont automatiquement corrélées, de sorte que NetCrunch sait quand une alerte commence et quand elle se termine (fermeture).

Les alertes externes telles que les messages Syslog, les traps SNMP ou les événements Windows peuvent être corrélées entre elles en ajoutant des conditions liées à la fermeture des alertes. Ceci permet de se concentrer principalement sur les problèmes non résolus. De plus, l’exécution d'actions à la fermeture des alertes permet une intégration simplifiée avec les systèmes externes par exemple logiciel pour le support.

@@3pending-alerts.png Vue des alertes en attente

Corrélation avancée

NetCrunch (seulement PremiumXE) contient un pack de monitoring global utilisant la corrélation ce qui permet de corréler des événements survenant sur des nœuds distincts. Ceci est particulièrement utile pour définir des alertes sur les équipements en haute disponibilité. Les alertes peuvent être déclenchées lorsque tous les événements sont en attente ou en définissant un laps de temps dans lequel elles doivent se produire. Ces alertes corrélées concernent tous les événements et pour tous les nœuds définis précédemment dans l'Atlas.

Alertes conditionnelles

NetCrunch permet de définir des conditions supplémentaires pour chaque alertes indépendamment de son type: alerte d'état, événement ou trap SNMP. Ces conditions autorisent le déclenchement d'alertes si un événement ne survient pas. Par exemple, si une entrée dans le journal des événements n'est pas présente pour confirmer le résultat d'un processus comme une sauvegarde. NetCrunch peut aussi recevoir des notifications à intervalle régulier et vous informer si il en manque une. D'autres conditions autorisent la suppression des alertes et de l’exécution des scriptes correspondant (également les actions de fermeture) pour un temps donné.

Conditions disponibles

  • Lors de l'événement
  • Si l'événement se produise après un temps x
  • Si l'événement se produise plus x fois
  • Dans un intervalle de temps
  • En dehors d'un intervalle de temps
  • Si l'événement ne survient pas pendant un temps donné
  • Si l'événement n'est pas arrivé après un temps x
  • Si l'événement est en attente plus de x

NetCrunch supporte les règles d'alerte utilisant des schémas de temps simples et complexes.

@@time-range-scheme.png Schéma de définition de temps complexe

Alerting Actions

Actions

En réponse à un événement, NetCrunch peut exécuter une ou plusieurs actions. Les actions peuvent également être exécutées lors de la fermeture de l'alerte. NetCrunch supporte diverses actions, notamment: notifications, audit, actions de contrôle et scripts distants.

Les notifications sont très flexibles et sont contrôlées par les profils utilisateurs. En outre, elles peuvent être combinées avec les cartes de l'atlas de telle sorte qu'il est possible d'envoyer des notifications différentes groupes en fonction des attributs du système responsable de l'alerte.

Actions prédéfinies

  • Actions de base: jouer un son, notification avec fenêtre, ajout information traceroute, ajout état du service réseau, notification utilisateur ou groupe, e-mail, SMS via email ou modem GSM
  • Actions de contrôle: exécution de programme ou scripte Windows, exécution de scripte SSH Script, redémarrage de l'ordinateur, arrêt de l'ordinateur, définir variable SNMP, terminer un processus Windows, contrôle des services Windows, Wake on LAN
  • Actions de contrôle NetCrunch: changement d'état d'un nœud, Modification de la liste des problèmes, définition de l'arrivé d'un événement, acquittement des alertes
  • Actions d'audit locales: écrire dans un fichier, écrire dans le journal d'événements Windows, écrire dans un fichier unique
  • Actions d'audit à distance: envoi de trap SNMP, envoi de message Syslog, déclencheur de WebHook
  • Actions scriptes distants Linux: redémarrage, arrêt, redémarrage du démon SNMP, montage et démontage de CD
  • Windows: exécuter le défragmenteur de disque, démarrer et arrêter le service SNMP

Actions d'alerte

Escalade & Exécution conditionnelle

Les actions peuvent être exécutées immédiatement ou, tant que l'alerte n'a pas été fermée, avec un délai. La dernière action peut être répétée. En outre, vous pouvez spécifier des actions à exécuter automatiquement lors de la fermeture de l'alerte.

Par exemple, vous pouvez décider d'envoyer une notification à une personne, puis, après un certain temps, exécuter une opération de redémarrage du serveur.

@@sample-script.png Exemple de scripte d'alerte

Le scripte ci-dessus exécute uniquement les notifications pour les alertes critiques et redémarre le système ayant causé cet événement seulement pour les serveurs Windows.

Event Log Views

Alertes en attente

Cette fenêtre présente seulement les alertes actives au lieu d'obliger les administrateurs à parcourir l'ensemble des événements. La fenêtre des alertes se synchronise automatiquement avec les vues de l'atlas, ce qui signifie que vous ne voyez que les alertes qui concernent les équipements présents dans la carte.

Synthèse

Cette vue de synthèse affiche les statistiques d'alerte pour une vue donnée. Les statistiques sont regroupées par catégorie de supervision et par vues individuelles. Cela vous donne un aperçu du type d'alarmes, survenus dans un laps de temps donné.

@@event-summary.png Synthèse des événements des 24 dernières heures

Vues personnalisées du journal des événements

NetCrunch offre de nombreuses vues prédéfinies du journal des événements et vous permet de définir vos propres vues à l'aide d'un outil de création de filtres intuitif. Les vues peuvent être enregistrées et utilisées pour tout groupe de nœuds dans l'Atlas.

@@custom-view.png Outil de filtres et sélection de fourchettes de temps

Détails de l'événement

Pour chaque événement dans l'audit, NetCrunch offre une vue détaillée contenant tous les informations et les paramètres de l'alerte. Cette fenêtre affiche toutes les actions exécutées et également la raison de sa fermeture.

Si l'alerte a été déclenchée sur un compteur de performances, il affiche un graphique montrant les valeurs au moment de l'alerte.

@@event-details.png Détails de l'événement