1. 概要

1.1. はじめに

本書では、OASE(Operation Autonomy Support Engine)の概要について説明します。

1.2. 機能の概要

OASEとは、外部から取得したイベント情報を分析し、そのイベントへの対処の自動化を支援する機能です。
OASE機能概要
OASEの機能フローは以下の通りです。
用語の解説は次項に記載してあります。
  1. イベント収集
    外部サービスからイベントを収集します。
    イベントはExastro OASE Agentによって収集され、APIを通してITA本体に送信されます。
    Exastro OASE Agentの詳細は エージェント概要 を参照してください。
  2. ラベル付与
    ITAで受信したイベントに対して、設定されたラベルを付けます。
    様々な異なるアプリケーションからのイベントの情報を、OASE内で均質化して扱うことが目的です。
    ラベル付与に関する設定の詳細は ラベル作成 および ラベル付与 を参照してください。
  3. 評価
    付与されたラベルを用いて、イベントを抽出(フィルター)し、設定されたルールにマッチするかどうかの判定を行います。
    ルール判定に関する設定の詳細は フィルター詳細 および ルール詳細 を参照してください。
  4. アクション実行・通知
    ルールにマッチした際に、設定したアクション(ConductorとOperationの設定)を実行することができます。
    また、アクションが実行される前後の通知もルールメニューにて設定することができます。
    アクション設定の詳細は アクション詳細 を参照してください。

1.3. 用語の定義

本書では以下として記載します。
表 1.168 用語説明

用語名

内容

監視システム
システムの状態変化を収集するために利用されるソフトウェアやサービスの総称です。
システムの状態変化を検知し、Exastro OASEにイベントを作成・送信します。

OASE
Exastro OASEは、システムの監視・運用自動化を支援するソフトウェアです。
監視システムで作成されたイベントを収集し、定義された条件に基づいて適切なアクションを実行します。

イベント
設定された対象(監視システム)から取得してきた、システムの状態変化(の発生情報)のことです。※

TTL(Time To Live)
エージェントが取得したイベントが、ルールの評価対象として扱われる期間(秒)のことで、次の2つの目的で利用されます。
▼最もユーザーの意図に近い判断を選択
あるイベントが発生し、そのイベントが複数のルールの条件として定義されている場合、Exastro OASEは優先度の高いルールが適用されるように動作しようとします。
一方で、完全な条件が揃うまでOASEはイベントの発生を待ち、最終的な判断はイベントの発生日時からTTLで指定した期間を経過したタイミングまでに行われます。
▼古すぎるイベントによる意図しないアクション実行の防止
発生からTTLの2倍以上の期間が経過したイベントは、ユーザーが意図しないイベントである可能性があるため、即座に「時間切れ」ステータスになり、ルールの評価対象から除外します。
最小値は10(秒)、最大値は2137483647(秒)、デフォルトの値は3600(秒)です。

ラベル
ラベル作成・ラベル付与の設定を基に、OASE内部で利用しやすい形(key&value形式)で付与された、イベントのプロパティのことです。
イベントを整理・分類し、後続のフィルターやルール判定で使いやすくするために使用します。
ラベルによって、異なるアプリケーションからのイベントを均質化した情報として扱うことが可能です。

重複排除
本質的に同一内容のイベント情報を複数取得しても、先頭のイベントしか取りこまないように設定することができます。
イベント収集システムもしくはOASEエージェントが冗長化されている場合に、重複したデータを扱わないためにするための機能です。

フィルター
ラベルの条件から一意のイベントを抽出すること、もしくはその対象です。ルール判定の前段階で、どのイベントをルール判定の対象にするかを絞り込む役割を果たします。

ルール
任意のアクションを実行したり、結論イベントを生成したりするための条件で、フィルターを組み合わせることによって作成します。

アクション
定義されたルールにマッチした場合に、イベントに対して実行する具体的な対応処理です。

評価
収集したイベントがフィルターによって抽出され、ルールの条件にマッチするかどうかを判定し、
マッチした場合に次の動作(アクション、結論イベント)を決定するまでの一連のプロセスのことです。

結論イベント
ルールにマッチした際に、発生するイベントのことです。
元のイベントから情報を引き継ぎ、処理結果や判定結果を含むことができます。
結論イベント自体を別のルールで評価することができるため、連鎖的な自動化が可能です。
※イベントの詳細については、以下の通りです。
表 1.169 イベント種類

種類

内容

新規
収集して未だ評価機能に検知されていない状態のことです。
判定時間が過ぎると、既知(判定済み)、未知、時間切れのいずれかに変化します。

既知

評価機能に検知された状態もしくは対象のことです。

既知(判定済み)

ルールにマッチした状態もしくは対象のことです。

時間切れ
下記のいずれかの理由により、ルールの評価対象から外した対象のことです。
・TTLの2倍以上の期間が経過して、評価対象とするには古すぎる
・TTLを経過した直後の評価タイミング(ルールにマッチさせる最終タイミング)までに、マッチさせることが出来なかった

未知
フィルターに抽出されなかった(評価機能に検知されなかった)状態もしくは対象のことです。
未知の事象であることから、今後の評価対象として検討する必要が考えられます。
表 1.170 イベント種別

項目名

説明

新規イベント(受信時)
イベントが受信された時点で通知されます。
ただし、重複排除設定がある場合、同一と判断されたイベントは通知されません。

新規イベント(統合時)
受信したイベントが統合された際に通知されます。
複数のイベントが1つにまとめられた場合に発生します。

新規イベント(判定前)
ルール判定対象となったイベントについて通知されます。

既知イベント(判定時)
イベントがいずれかのルールにマッチした際に通知されます。

既知イベント(TTL有効期限切れ)
TTL有効期限が切れたイベントについて通知されます。

未知イベント
どのルールや条件にもマッチしなかったイベントについて通知されます。