Sie können die Anzahl der Ereignisse, die an eine Aktion weitergeleitet werden, mit Hilfe von Filterschwellenwerten begrenzen, was in den meisten Szenarien gut funktioniert und eine Menge erweiterter Konfigurationseinstellungen für Schwellenwerteinstellungen bietet (z.B. Ereignisprotokollprotokollierung usw.).
In einigen Fällen könnte es wünschenswerter sein, stattdessen eine Beschränkung auf eine Aktion anzuwenden. Dies ist nützlich, wenn Sie eine große Anzahl von Filtern haben, die Ereignisse an eine Aktion senden (und es zeitaufwändig wäre, für alle diese Filter Schwellenwerte festzulegen), oder wenn Sie eine Aktion (z.B. einen Pager) haben, bei der Sie sicherstellen müssen, dass nur eine begrenzte Anzahl von Ereignissen an die Aktion weitergeleitet wird.
Durch das Festlegen von Grenzen für Aktionen können Sie sicherstellen, dass die Aktion höchstens die festgelegte Anzahl von Zeitpunkten im konfigurierten Zeitraum ausgelöst wird, unabhängig davon, wie viele Ereignisse von einem oder mehreren Filtern an die Aktion übergeben werden. Klicken Sie auf die Schaltfläche Optionen, um einen Aktionsgrenzwert festzulegen.
Aktionsgrenzwerte können entweder auf dem Agent oder auf dem Collector (wenn ein Collector aktiviert ist) ausgewertet werden. Wenn auf "Enabled (Collector)" gesetzt, ist der Schwellenwert global und gilt für alle vom Collector gesendeten E-Mails. So würde ein Grenzwert von "10 pro 1 Stunde" dazu führen, dass nicht mehr als 10 E-Mails in einer Stunde gesendet werden. Wenn derselbe Schwellenwert für "Aktiviert (Agent)" konfiguriert ist, wird der Schwellenwert auf dem Agenten ausgewertet und bedeutet, dass von jedem Agenten nicht mehr als 10 E-Mails gesendet werden - was dazu führen könnte, dass mehr als 10 E-Mails von mehreren Agenten gesendet werden.
Es ist wichtig zu verstehen, dass sich eine Aktionsgrenze nicht auf die Anzahl der Ereignisse bezieht, sondern auf die Anzahl der Auslösungen der Aktion. Wenn Sie z.B. ein Limit für eine E-Mail-Aktion festlegen, dann gilt das Limit für die Anzahl der E-Mails, nicht für die Anzahl der Ereignisse innerhalb der E-Mails. Daher funktioniert die Funktion zur Begrenzung von Aktionen je nach Art der ausgelösten Aktion unterschiedlich. Weitere Einzelheiten zur Funktionsweise des Aktionslimits für verschiedene Aktionstypen finden Sie in der unten stehenden Liste:
|
Aktionstyp |
Pro Ereignis |
Pro Auslöser (Detail) |
E-Mail (SMTP) |
- |
Ja (per E-Mail) |
|
Pager (SNPP) |
- |
Ja (pro Verbindung zum SNPP-Server) |
|
Datenbank |
- |
Ja (pro Verbindung zum Datenbankserver) |
|
Syslog |
- |
Ja (pro Verbindungen zum Syslog-Server) |
|
Datei |
Ja |
- |
|
Parallel |
Ja |
- |
|
Netzwerk-Nachricht |
Ja |
- |
|
Prozess |
Ja |
- |
|
Sound |
Ja |
- |
|
Desktop |
Ja |
- |
|
Jabber |
Ja |
- |
|
SNMP |
Ja |
- |
|
Dienst |
Ja |
- |
|
Herunterfahren |
Ja |
- |
Aktionsgrenzwerte mit Collector
Beachten Sie bei der Verwendung von Aktionsschwellenwerten mit Collector folgendes:
• Collector-seitige Aktions-Schwellenwerte werden derzeit nur für die SMTP-Aktion unterstützt.
• Wenn eine E-Mail die letzte E-Mail ist, bevor der Schwellenwert überschritten wird, beginnt der Betreff der E-Mail mit [THRESHOLD REACHED], um anzuzeigen, dass einige E-Mails unterdrückt werden können.
Häufigkeit
Standardmäßig leiten die E-Mail-, Pager- und Datenbankaktionen Ereignisse alle 5 Sekunden an den konfigurierten Server weiter. Dieses Intervall kann zum Zweck der Aggregation von Ereignissen erhöht werden. Anstatt beispielsweise 3 E-Mails innerhalb einer Minute zu erhalten, die jeweils ein einzelnes Ereignis enthalten, können Sie jede Minute eine E-Mail erhalten, die alle drei Ereignisse enthält. Diese Funktion ist vor allem für die E-Mail- und Datenbankaktion nützlich.
