Regla de evento Umbral de tiempo excedido

Contenido
uimpga-ga
Contenido
Requisitos previos
Para utilizar Tiempo por encima del umbral, se deben tener instaladas las versiones de las sondas siguientes en cada nivel del concentrador donde se desee ejecutar la funcionalidad:
  • alarm_enrichment 4.40 o posterior
  • baseline_engine 2.34 o posterior
  • nas 4.40 o posterior
  • Gestor de aprovisionamiento de la sonda (PPM) 2.38 o posterior
  • prediction_engine 1.01 o posterior
Umbral de tiempo excedido y concentradores secundarios
Los requisitos previos para el umbral de tiempo excedido se aplican a cualquier concentrador secundario en el que se desea activar la funcionalidad Umbral de tiempo excedido. Una vez se han implementado las sondas necesarias y se ha configurado el Umbral de tiempo excedido en los concentradores secundarios, se pueden reenviar las alarmas al concentrador principal mediante la replicación y el reenvío de nas.
Flujo de replicación TOT
TOT replication flow
(CA UIM 9.0.2) Requisitos previos para la configuración del Umbral de tiempo excedido en MCS
Para obtener más información sobre los requisitos previos para la configuración del umbral de tiempo excedido en MCS, consulte Configuración de los umbrales de alarma en MCS.
Descripción general
El Umbral de tiempo excedido (TOT) es una regla de procesamiento de eventos que le permite reducir el número de alarmas que se generan cuando se producen eventos de infracción del umbral. Se puede utilizar el Umbral de tiempo excedido para filtrar picos de datos y monitorizar métricas problemáticas en un período establecido. en lugar de enviar una alarma inmediatamente después de producirse una infracción del umbral. Umbral de tiempo excedido:
  • Monitoriza los eventos que ocurren durante una ventana de tiempo establecida por el usuario.
  • Sigue la longitud del tiempo que la métrica se encuentra en cada severidad de la alarma.
  • Activa una alarma si el tiempo acumulado de infracción de la métrica en la ventana de tiempo deslizante alcanza el Umbral de tiempo excedido establecido.
Ejemplo: Umbral de tiempo excedido en un bloque consecutivo
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante
    : 30 minutos.
  • Tiempo por encima del umbral
    : 10 minutos.
  • Desactivación automática
    : No se ha establecido.
  • Severidades de la alarma
    : Se establecen los umbrales de alarma Desactivar, Información, Advertencia, Leve, Grave y Crítica en la GUI de la sonda.
2320254.png
El Umbral de tiempo excedido no tiene que ocurrir consecutivamente dentro de una ventana de tiempo deslizante. Todo el tiempo de una ventana deslizante se cuenta para el Umbral de tiempo excedido.
Ejemplo: Umbral de tiempo excedido en un bloque no consecutivo
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante
    : 30 minutos.
  • Tiempo por encima del umbral
    : 10 minutos.
  • Desactivación automática
    : No se ha establecido.
  • Severidades de la alarma establecidas
    : Se establecen los umbrales de alarma Desactivar, Información, Advertencia, Leve y Grave en la GUI de la sonda.
2320634.png
Flujo de trabajo del Umbral de tiempo excedido
tot_probe_flow
tot_probe_flow
  1. La sonda baseline_engine evalúa las métricas de la calidad del servicio de las sondas en contra de definiciones de umbrales estáticos y dinámicos.
  2. La sonda baseline_engine genera mensajes de infracción del umbral cuando se alcanzan los umbrales.
  3. La sonda nas implementa la regla de procesamiento de eventos del Umbral de tiempo excedido para filtrar picos de datos. Este procesamiento de eventos produce un reflejo más exacto del comportamiento de la infracción del umbral.
(CA UIM 9.0.2) Configuración del Umbral de tiempo excedido en MCS
Para obtener más información sobre cómo configurar el Umbral de tiempo excedido, consulte Configuración de los umbrales de alarma en MCS.
Supresión de la alarma durante el Umbral de tiempo excedido
Después de que una métrica alcance un estado del Umbral de tiempo excedido, se genera una alarma para cada infracción del umbral adicional. De forma predeterminada, estas alarmas duplicadas aumentarán el recuento de supresiones de la alarma, pero no serán visibles. Si la supresión se desactiva, las alarmas duplicadas se tratan como alarmas nuevas y serán visibles en USM o la GUI de la sonda nas.
Si se suprime la alarma (reconocida) en UMP o en el Gestor de la infraestructura, la ventana de tiempo no se restablece. Se debe borrar la infracción de la alarma de la sonda durante un período de tiempo suficiente (en Umbral de tiempo excedido en la ventana de tiempo deslizante) para que las alarmas se supriman de nuevo.
Condiciones para la desactivación de la alarma mediante el Umbral de tiempo excedido
La desactivación automática es una configuración opcional que desactiva una alarma del Umbral de tiempo excedido cuando no haya ningún evento nuevo de infracción del umbral para el período de tiempo definido. Si se activa la desactivación automática, un temporizador empieza a funcionar después de recibir un evento de desactivación. Si ningún evento de infracción del umbral subsiguiente llega a la ventana de desactivación automática después de recibir el evento de desactivación, la alarma se desactiva automáticamente (establecido en el nivel 0). La llegada de un evento de infracción del umbral restablece la regla de desactivación, que espera al siguiente evento de desactivación para que el temporizador se inicie otra vez.
Una alarma Umbral de tiempo excedido que se ha desactivado automáticamente, se puede reconocer (y cerrar) automáticamente mediante la opción
Accept automatic 'acknowledgment' of alarm (Aceptar automáticamente el reconocimiento de la alarma)
en la interfaz gráfica de usuario de la sonda nas, que se activa de manera predeterminada. Si esta opción se ha desactivado, las alarmas permanecerán en el historial de alarmas con la severidad Desactivada (verde) y se deberán reconocer manualmente.
Las horas de desactivación automática se conservan también cuando la sonda alarm_enrichment no está activa. Si la sonda alarm_enrichment se detiene y, a continuación, se vuelve a activar, cualquier temporizador de desactivación automática en ejecución se reiniciarán bien con:
  • La hora de la desactivación automática original, si se va a dar todavía en el futuro.
  • Un minuto, si el tiempo de desactivación automática original se encuentra en el pasado.
Ejemplo: Umbral de tiempo excedido utilizando la desactivación automática
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante
    : 30 minutos.
  • Tiempo por encima del umbral
    : 10 minutos.
  • Desactivación automática
    : 5 minutos.
  • Severidades de la alarma
    : Se establecen los umbrales de alarma Desactivar, Información, Advertencia, Leve y Grave en la GUI de la sonda.
2320865.png
Cambios en la severidad de las alarmas durante el Umbral de tiempo excedido
Se evalúa el Umbral de tiempo excedido en cada severidad del evento definida por el usuario. Esto significa que una métrica debe estar en una severidad de alarma elevada para el Umbral de tiempo excedido definido antes de cambie la severidad. El nuevo nivel de severidad de la alarma se establece de manera que coincida con la severidad del evento acumulativa en la ventana Umbral de tiempo excedido.
Cada vez que llega un evento de infracción del umbral, la severidad de la alarma del Umbral de tiempo excedido se determina de la siguiente manera:
  1. Se calcula el tiempo acumulativo de los eventos de incumplimiento del umbral dentro de la ventana deslizante con la severidad en estado Crítico. Si este tiempo excede el Tiempo por encima del umbral, la severidad de la alarma se establece como Crítica y finalizará el procesamiento de la regla.
  2. Se calcula el tiempo acumulativo de los eventos de incumplimiento del umbral dentro de la ventana deslizante con una severidad en estado Grave, como mínimo. Si este tiempo excede el Tiempo por encima del umbral definido, la severidad de la alarma se establece en Grave y se completa el procesamiento de la regla.
  3. Se calcula el tiempo acumulativo de los eventos de incumplimiento del umbral dentro de la ventana deslizante con la severidad Leve, como mínimo. Si este tiempo excede el Tiempo por encima del umbral definido, la severidad de la alarma se establece en Leve y se completa el procesamiento de la regla. De lo contrario, el algoritmo continúa con este patrón para los niveles de severidad restantes.
Ejemplo: Umbral de tiempo excedido con severidad creciente
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante:
    20 minutos.
  • Tiempo por encima del umbral
    : 10 minutos.
  • Desactivación automática
    : No se ha establecido.
  • Severidades de la alarma
    : Se establecen los umbrales de alarma Desactivar, Información, Advertencia, Leve y Grave en la GUI de la sonda.
  • Supresión de alarma:
    Activada.
2320864.png
En este ejemplo:
  1. Tiempo 20
    : se activa una alarma de Tiempo por encima del umbral después de que pasen diez minutos del evento del Tiempo por encima del umbral. La severidad de la alarma se establece en 1 porque la primera condición de la regla del Umbral de tiempo excedido que coincide es "la severidad del evento es 1 o superior".
  2. Tiempo 25
    : La severidad de la alarma se eleva al nivel 2 porque la condición "la severidad del evento es 2 o superior" de la regla Umbral de tiempo excedido ahora es verdadera.
  3. Tiempo 30
    : La severidad de la alarma se eleva al nivel 3 porque la condición "la severidad del evento es 3 o superior" de la regla Umbral de tiempo excedido ahora es verdadera.
El Umbral de tiempo excedido solamente evalúa los niveles de severidad de la alarma que se establecen en la GUI de configuración de la sonda.
Ejemplo: Umbral de tiempo excedido con dos severidades establecidas
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante
    : 30 minutos.
  • Tiempo por encima del umbral
    : 10 minutos.
  • Desactivación automática
    : No se ha establecido.
  • Severidades de la alarma
    : Se establecen umbrales de alarma Leve y Grave en la GUI de la sonda.
2321566.png
En este ejemplo:
  1. Tiempo 30
    : se activa una alarma de Tiempo por encima del umbral después de que pasen diez minutos de la acumulación del tiempo del evento del Tiempo por encima del umbral. La severidad de la alarma del Umbral de tiempo excedido se establece en 3 porque la primera condición de la regla del Umbral de tiempo excedido que coincide es "la severidad del evento es 3 o superior".
Ejemplo: Umbral de tiempo excedido con varias severidades
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante
    : 8 minutos.
  • Tiempo por encima del umbral
    : 4 minutos.
  • Desactivación automática
    : 4 minutos.
  • Severidades de la alarma
    : Se establecen los umbrales de alarma Desactivar, Información, Advertencia, Leve y Grave en la GUI de la sonda.
  • Supresión de alarma:
    Activada.
2321247.png
En este ejemplo:
  1. Tiempo 8
    : se activa una alarma de Tiempo por encima del umbral después de que pasen cuatro minutos del evento del Tiempo por encima del umbral. La severidad de la alarma se establece en 1 porque la primera condición de la regla del Umbral de tiempo excedido que coincide es "la severidad del evento es 1 o superior".
  2. Tiempo 10
    : la severidad se eleva a 2 porque la condición de la regla del Tiempo por encima del umbral (TOT) "la severidad del evento es 2 o superior" ahora es verdadera.
  3. Tiempo 16:
    la severidad se eleva a 3 porque la condición de la regla del Tiempo por encima del umbral (TOT) "la severidad del evento es 3 o superior" ahora es verdadera.
  4. Tiempo 21
    : la severidad de la alarma disminuye a 2 porque ya no hay 4 minutos o más de severidad 3 o superior dentro de la ventana deslizante de 8 minutos, pero hay 4 minutos o más de la severidad 2 o superior.
  5. Tiempo 25
    : la severidad de la alarma disminuye a 1 porque ya no hay 4 minutos o más de severidad 2 o superior dentro de la ventana deslizante de 8 minutos, pero hay 4 minutos o más de la severidad 1 o superior.
  6. Tiempo 30
    : la alarma se desactiva porque no ocurre ningún incumplimiento nuevo durante cuatro minutos y la condición de desactivación automática se cumple.
Tipos de umbral compatibles
Actualmente los tipos de límite de umbral estáticos y dinámicos son compatibles con Tiempo por encima del umbral. Para obtener más información, consulte Configuración de los umbrales de alarma o Configuración de los umbrales de alarma en MCS.
Los tipos de umbral disponibles varían según la sonda y la interfaz de usuario. No todos los tipos de umbral son compatibles con todas las sondas en todas las interfaces de usuario. Si un tipo de umbral no se puede configurar en una interfaz de usuario de configuración de sonda o en una plantilla de MCS, la sonda o MCS no será compatible con ese tipo de umbral.
Otros escenarios del Umbral de tiempo excedido
Los ejemplos siguientes muestran otros escenarios del Umbral de tiempo excedido que utilizan métricas específicas de la sonda.
Ejemplo: Métrica Tiempo hasta el primer byte de la sonda URL_response
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante
    : 5 minutos.
  • Tiempo por encima del umbral:
    3 minutos.
  • Desactivación automática
    : No se ha establecido.
  • Severidades de la alarma:
    • La severidad de la alarma 2 se establece en 100 ms.
    • La severidad de la alarma 3 se establece en 300 ms.
    • La severidad de la alarma 4 se establece en 700 ms.
    • La severidad de la alarma 5 se establece en 1000 ms.
  • Supresión de alarma:
    Activada.
2321586.png
En este ejemplo:
  1. Tiempo 8
    : se observan tres minutos del tiempo hasta el primer byte de 100 ms o superior en la ventana deslizable y se envía una alarma de la severidad 2.
  2. Tiempo 14
    : se observan tres minutos del tiempo hasta el primer byte de 300 ms o superior. La alarma aumenta a la severidad 3.
  3. Tiempo 20
    : se observan tres minutos del tiempo hasta el primer byte de 700 ms o superior. La alarma aumenta a la severidad 4.
  4. Tiempo 25
    : se observan tres minutos del tiempo hasta el primer byte de 1000 ms o superior. La alarma aumenta a la severidad 5.
Ejemplo: Métrica Uso del disco de la sonda CDM
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante:
    45 minutos.
  • Tiempo por encima del umbral
    : 5 minutos.
  • Desactivación automática
    : No se ha establecido.
  • Severidades de la alarma:
    El umbral de la alarma Grave se establece en 80 % en la GUI de la sonda.
2321585.png
En este ejemplo:
  1. El Umbral de tiempo excedido solamente ocurre durante cuatro minutos y no se envía ninguna alarma.
Ejemplo: Métrica Uso del disco de la sonda CDM (modificada a Enviar una alarma del Umbral de tiempo excedido)
Este ejemplo utiliza los valores siguientes:
  • Ventana deslizante
    : 15 minutos.
  • Tiempo por encima del umbral
    : 5 minutos.
  • Desactivación automática
    : 5 minutos.
  • Severidades de la alarma:
    El umbral de la alarma Grave se establece en 80 % en la GUI de la sonda.
2321837.png
  1. Tiempo 15
    : se observan cinco minutos de uso del disco al 80 % o superior en la ventana deslizante y se envía una alarma de la severidad 5.
  2. Tiempo 21
    : se desactiva la alarma una vez hayan pasado 5 minutos del tiempo por debajo del nivel de severidad establecido.
Prácticas recomendadas para el Umbral de tiempo excedido
Observe las prácticas recomendadas siguientes al utilizar el Umbral de tiempo excedido
  • Establezca el Umbral de tiempo excedido a un intervalo más largo que el período de muestra para la métrica de la calidad del servicio. Si se establece un Umbral de tiempo excedido más pequeño, se producirán los mismos resultados que se obtienen al dejar desactivada la regla del Umbral de tiempo excedido.
  • Evalúe su sistema monitorizado y determine los valores adecuados tanto para la ventana deslizante como para el Umbral de tiempo excedido. Los valores que son demasiado grandes para su sistema pueden dar lugar a la supresión de alarmas de las que sea necesario saber de su existencia.
Si se establece una ventana de desactivación automática más pequeña, se puede producir un número excesivo de alarmas,
así como causar otros resultados inesperados de la alarma
.
El valor Desactivar el tiempo de retraso (TC)
no debe
ser inferior al valor del intervalo Umbral de tiempo excedido (TOT) para borrar automáticamente las alarmas.
Configuración del Umbral de tiempo excedido
Las alarmas generadas desde el nas secundario deben introducirse al nas principal mediante la replicación.
El Umbral de tiempo excedido se configura mediante las interfaces de usuario de una sonda en la Consola de administración o mediante las plantillas pertinentes de MCS.
Los tipos de umbral disponibles varían según la sonda y la interfaz de usuario. No todos los tipos de umbral son compatibles con todas las sondas en todas las interfaces de usuario. Si un tipo de umbral no se puede configurar en una interfaz de usuario de configuración de sonda o en una plantilla de MCS, la sonda o MCS no será compatible con ese tipo de umbral.
El ejemplo siguiente muestra las configuraciones de Umbral de tiempo excedido para la métrica Uso del disco de la sonda cdm:
screen.png
Siga los pasos siguientes:
  1. En la GUI de la sonda, seleccione un nodo en el árbol para ver algunos monitores asociados y métricas de la calidad del servicio.
  2. Seleccione el monitor que desea modificar en la lista disponible.
  3. Haga clic en las casillas de verificación
    Publicar datos
    ,
    Publicar alarmas
    y
    Calcular línea de referencia
    .
  4. La sonda cdm solo es compatible con los cálculos dinámicos Tiempo por encima del umbral. Haga clic en la casilla de verificación
    Alarma dinámica
    .
  5. Configure la alarma dinámica. Para obtener más información, consulte la sección correspondiente en el artículo Configuración de los umbrales de alarma.
  6. Seleccione la casilla de verificación
    Activar Umbral de tiempo excedido dinámico
    .
  7. Introduzca valores para los siguientes campos:
    • Tiempo por encima del umbral <TOT>
      : la longitud de tiempo durante el cual una métrica debe permanecer por encima del umbral antes de enviar una alarma.
    • Ventana deslizante de tiempo <TW>
      : la longitud de tiempo en la ventana deslizante en la cual la métrica se monitorizan para infracciones del umbral.
    • Unidades de tiempo para <TOT> y <TW>
      : la unidad de medida utilizada por los parámetros Tiempo
      por encima del umbral y Vent
      ana
      de tiempo.
      Limitado a minutos, horas o días.
    • Desactivar alarma automáticamente
      : permite la funcionalidad de desactivación automática.
    • Desactivar el tiempo de retraso
      : la longitud de tiempo utilizado en el temporizador de la desactivación automática. Si no se envía ninguna alarma en el período de tiempo establecido, la alarma se desactiva automáticamente.
      Si no se establece ningún tiempo de retraso de borrado, las alarmas no se borran nunca.
    • Unidades de tiempo para <TC>
      : la unidad de medida que utiliza la desactivación automática. Limitado a minutos, horas o días.
  8. Guarde los cambios.
Actualizaciones posteriores a la configuración de las reglas
Después de configurar el Umbral de tiempo excedido, se aplican los siguientes cambios inmediatamente:
  • Nuevas reglas de Tiempo por encima del umbral.
  • Cambios en el parámetro Desactivar el tiempo de retraso.
  • Cambios en el estado activo de Tiempo por encima del umbral.
Además, después de guardar la configuración, la sonda ppm más local de la sonda que se está configurando crea un mensaje de bus con el asunto TOT_RULE_CONFIG. Existe una cola asociada al concentrador denominada
tot_rule_config
que se ha suscrito al asunto de mensaje TOT_RULE_CONFIG. La sonda alarm_enrichment procesa estos mensajes y los escribe en un archivo local denominado
rule_config.xml
. El archivo rule_config.xml se almacena en el directorio de archivos
<dir_instalación_uim>\probes\service\nas\alarm_enrichment
. A continuación, se muestra un archivo rule_config.xml de ejemplo que contiene dos reglas.
image2017-9-22 16:2:49.png
Cuando se inicia la sonda alarm_enrichment, esta lee el archivo rule_config.xml de la memoria. Cuando se procesa una alarma a través de la sonda alarm_enrichment con un valor de Met_id que coincide con un valor de ID del archivo rule_config.xml, las alarmas no se publican en el asunto alarm2. Esta acción significa que la alarma se omite durante el período de Umbral de tiempo excedido.
Los siguientes cambios se aplicarán en la siguiente alarma recibida:
  • Cambios en el parámetro Tiempo por encima del umbral.
  • Cambios en el parámetro Ventana deslizante de tiempo.
Solución de problemas del Tiempo por encima del umbral
Veo errores con relación a alarm_enrichment
Síntomas:
  • He recibido una alarma crítica que indica que la versión de la sonda alarm_enrichment es incorrecta, o que se debe activar la sonda alarm_enrichment.
  • Veo el mensaje de error siguiente en la GUI de configuración de la sonda de la Consola de administración:
    "El Tiempo por encima del umbral no está disponible. No se puede leer o escribir la configuración de la sonda alarm_enrichment".
Solución:
  • Compruebe que se ha instalado la sonda alarm_enrichment versión 4.40 o posterior y que se ha activado en el nivel Concentrador.
Los parámetros de configuración Tiempo por encima del umbral no están disponibles
Síntomas:
  • No se muestran los parámetros de configuración Tiempo por encima del umbral en la GUI de la Consola de administración de la sonda.
  • Pero sí que veo los parámetros de configuración Umbral dinámico.
  • No he recibido ningún otro mensaje o alarma de error.
Solución:
  • Verifique que las versiones adecuadas de nas, ppm y prediction_engine estén instaladas y activadas en el nivel Concentrador.