Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

상관 관계가 있는 이벤트를 사용하여 이벤트 정책 트리거

요약 두 개 이상의 상관된 이벤트가 발생할 때 실행되도록 이벤트 정책을 구성합니다.

상관 관계가 있는 이벤트 이해

두 개 이상의 이벤트를 상호 연관시키는 이벤트 정책을 구성할 수 있습니다. 이벤트가 지정된 대로 발생하면 특정 작업이 수행됩니다. 예를 들어, UI_COMMIT_PROGRESS 이벤트 후 5분(300초) 이내에 UI_CONFIGURATION_ERROR 이벤트가 생성될 때 특정 운영 모드 명령을 실행할 수 있습니다. 또 다른 예로, DCD_INTERFACE_DOWN 이벤트가 60초 간격 내에 두 번 생성되는 경우 특정 파일을 업로드할 수 있습니다.

이벤트 정책에서 이벤트를 상관시키려면 계층 수준에서 다음 문을 [edit event-options] 포함합니다.

문에서 events 여러 트리거 이벤트를 나열할 수 있습니다. 이벤트 정책에서 이벤트를 정의하는 방법에 대한 자세한 내용은 Event Policies and Event Notifications Overview를 참조하십시오. 이러한 이벤트를 다른 이벤트와 상호 연관시키려면 및/또는 attributes-match 문을 구성합니다within.

명령문은 within 트리거 이벤트 전에 지정된 시간 간격 내에 발생해야 하는(또는 발생하지 않아야 하는) 상관 관련 이벤트를 정의합니다. 문은 attributes-match 이벤트의 속성을 다른 이벤트의 속성 또는 정규식과 상호 연결합니다. 이벤트 정책은 지정된 조건이 충족되는 경우에만 문에 then 구성된 작업을 실행합니다. 다음 섹션에서는 문을 사용하는 방법에 대해 설명합니다.

시간 간격에 따른 이벤트 상관 관계 분석

트리거 이벤트가 다른 이벤트 이후 지정된 시간 간격 내에 발생하는 경우에만 실행되도록 이벤트 정책을 구성할 수 있습니다. 명령문을 구성 within seconds events 하여 이 작업을 수행합니다. 명령문에 정의된 within seconds events 상관 관계 이벤트가 첫 번째 events 명령문에 정의된 트리거 이벤트 전에 구성된 시간(초) 내에 발생하면 정책이 실행됩니다. 초 수는 60에서 604,800 사이일 수 있습니다. 명령문은 not 상관 관련 이벤트가 트리거 이벤트 전에 구성된 시간 간격 내에 발생하지 않는 경우에만 정책이 실행되도록 합니다.

예를 들어 상관 관련 이벤트 event1 또는 , 중 하나가 발생한 후 60초 이내에 트리거 이벤트 event3, event4event2, 또는 event5중 하나가 발생하면 디바이스는 다음 정책을 실행합니다.

시간 간격별로 이벤트를 상호 연관시키도록 이벤트 정책을 구성하려면:

  1. 하나 이상의 트리거 이벤트를 구성합니다.

  2. 트리거 이벤트 전과 지정된 시간 간격 내에 발생하거나 발생하지 않아야 하는 상관 관련 이벤트를 구성합니다.

    • 상관 관계가 있는 이벤트가 트리거 이벤트 전에 지정된 시간 간격 내에 발생하도록 지정하려면 키워드를 not 생략합니다.

    • 상관 관련 이벤트가 트리거 이벤트 전에 지정된 시간 간격 내에 발생하지 않도록 지정하려면 키워드를 not 포함합니다.

  3. 조건이 충족되는 경우 이벤트 정책이 실행하는 작업을 구성합니다.

메모:

디바이스는 트리거 이벤트 전에 상관 관련 이벤트가 발생하면(또는 키워드를 not 구성하는 경우 발생하지 않는) 이벤트 정책을 실행합니다. 트리거 이벤트 전에 여러 상관 이벤트가 발생하도록(또는 발생하지 않도록) 요구하려면 여러 within 문을 구성합니다. 각 문은 서로 다른 시간 간격을 지정해야 합니다.

또한 이 문은 within 트리거 이벤트가 지정된 시간 간격 내에 특정 횟수만큼 발생할 때 이벤트 정책 실행을 지원합니다. 자세한 내용은 이벤트 수에 따라 이벤트 정책 트리거를 참조하십시오.

이벤트 속성 기반 이벤트 상관 관계 분석

이 문은 다음과 같이 두 가지 사건의 attributes-match 상관 관계를 나타냅니다.

  • event1.attribute-name equals event2.attribute-name- 의 지정된 속성이 의 event2지정된 속성 event1 과 같은 경우에만 정책을 실행합니다.

  • event.attribute-name matches regular-expression- 의 지정된 속성이 event 지정된 정규식과 일치하는 경우에만 정책을 실행합니다. 자세한 내용은 Use Regular Expressions to Refine the Set of Events That Trigger a Policy을 참조하십시오.

  • event1.attribute-name starts-with event2.attribute-name- 의 지정된 속성이 의 지정된 특성 event1 event2으로 시작하는 경우에만 정책을 실행합니다.

문에 attributes-match 또는 starts-with 옵션이 포함되어 equals 있거나 계층 수준에서 지정되지 [edit event-options policy policy-name events] 않은 이벤트에 대한 절을 포함하는 옵션이 포함된 matches 경우, 동일한 이벤트 정책에서 하나 이상의 within 문도 정의해야 합니다.

문 내에서 attributes-match 이벤트 정책 변수를 사용하여 트리거 이벤트 특성과 상관 관계 이벤트 특성을 구별할 수 있습니다. 트리거 이벤트는 계층 수준에서 구성하는 이벤트입니다 [edit event-options policy policy-name events] . 이중 달러 기호($$) 표기법은 정책을 {$$.attribute-name} 트리거하는 이벤트를 나타내며 트리거 이벤트의 속성 값으로 확인됩니다. 상관 관계 이벤트의 경우, 이벤트 이름($event) 표기법이 있는 단일 달러 기호는 이벤트 이름과 {$event.attribute-name} 일치하는 가장 최근 이벤트를 나타내며 해당 이벤트와 연관된 속성의 값으로 확인됩니다.

예를 들어, 다음 이벤트 정책은 5분 이내에 4개 이상의 커밋이 수행되고 하나 이상의 상관 관련 이벤트의 사용자 이름이 트리거 이벤트의 사용자 이름과 동일한 경우 문에 따라 then 작업을 실행합니다.

예를 들어 특정 이벤트에 대해 참조할 수 있는 속성을 찾는 방법에는 여러 가지가 있습니다.

  • 시스템 로그 탐색기를 사용합니다.

  • help syslog event CLI에서 운영 모드 명령을 사용합니다.

  • 속성을 구성할 때 구성 모드에서 상황에 맞는 도움말을 사용합니다.

시스템 로그 탐색기 애플리케이션을 사용하면 지정된 운영 체제 및 릴리스에 대한 표준 시스템 로그 메시지를 검색할 수 있습니다. 메시지 세부 정보에는 해당 이벤트에 대해 참조할 수 있는 속성이 포함됩니다.

또는 CLI help syslog event 에서 운영 모드 명령은 지정된 이벤트에 대해 참조할 수 있는 속성 목록도 표시합니다. 명령 출력은 꺾쇠 괄호(<>) 안에 이벤트 속성을 표시합니다. 다음 출력은 이벤트에 참조filename할 수 있는 세 가지 속성, file-size, 이 있음을 보여 줍니다 ACCT_ACCOUNTING_SMALL_FILE_SIZE record-size.

메모:

파이프(|) 기호를 사용하여 검색 결과를 필터링할 수 있습니다. 파이프 기호 사용에 대한 자세한 정보는 CLI 사용자 가이드를 참조하십시오.

또한 다음 예와 같이 계층 수준에서 구성 모드 명령을 [edit event-options policy policy-name] 실행하여 set attributes-match event? 이벤트 속성을 볼 수 있습니다.

메모:

set 명령에서는 이벤트 이름과 물음표() 사이에 공백이 없습니다.?

이벤트 정책에서 이벤트 트리거 및 상관 관계를 나타내는 방법

이벤트 스크립트 인수 및 지원되는 이벤트 정책 문( execute-commands 예: 문)에서 이벤트 정책 변수를 사용하여 트리거 이벤트상관 관계를 구분할 수 있습니다. 이벤트 트리거 및 상관관계는 계층 수준에서 다음 문으로 [edit event-options policy policy-name] 구성됩니다.

  • 트리거 이벤트 - 문에서 구성됨 events
  • 상관 관계 이벤트 - 문에서 구성됨 within seconds events

다음 형식의 이벤트 정책 변수를 사용하여 이벤트를 트리거하고 상관관계를 나타낼 수 있습니다.

  • {$$.attribute-name}- 이중 달러 기호($$) 표기법은 정책을 트리거하는 이벤트를 나타냅니다. 속성 이름과 결합하면 변수는 트리거 이벤트와 연결된 속성의 값으로 확인됩니다. 예를 들어, 은(는) {$$.interface-name} 트리거 이벤트와 연결된 인터페이스 이름으로 확인됩니다.

  • {$event.attribute-name}- 이벤트 이름($event) 표기법이 있는 단일 달러 기호는 와 일치하는 event가장 최근 이벤트를 나타냅니다. 속성 이름과 결합하면 변수는 해당 이벤트와 연결된 속성의 값으로 확인됩니다. 예를 들어 {$COSD_CHAS_SCHED_MAP_INVALID.interface-name} 정책이 명령을 실행하면 show interfaces {$COSD_CHAS_SCHED_MAP_INVALID.interface-name} 변수는 이벤트 프로세스에 의해 캐시된 가장 최근 COSD_CHAS_SCHED_MAP_INVALID 이벤트와 연결된 인터페이스 이름으로 확인됩니다.

  • {$*.attribute-name}- 별표($*) 표기법이 있는 달러 기호는 상관 관계가 있는 모든 이벤트와 일치하는 가장 최근의 이벤트를 나타냅니다. 변수는 정책 구성에 지정된 상관 관계가 있는 이벤트와 일치하는 가장 최근 이벤트와 연관된 속성 값으로 확인됩니다.

이벤트 정책에서 이벤트 정책 변수를 사용하여 특정 이벤트를 참조할 수 있습니다. 다음 이벤트 정책을 고려하십시오.

show interfaces {$$.interface-name} 명령에서 이벤트 e1, e2또는 e3 의 속성 값이 interface-name 변수를 대체 {$$.interface-name} 합니다.

show interfaces {$e4.interface-name} 명령에서 가장 최근 e4 이벤트의 속성 값이 interface-name 변수를 대체합니다{$e4.interface-name}.

show interfaces {$*.interface-name} 명령에서 가장 최근의 e4, e5또는 e6 이벤트의 속성 값이 interface-name 변수를 대체합니다{$*.interface-name}. , , 또는 중 하나가 e1, e5, 또는 e6이후 e460초 이내에 발생하는 경우, 해당 상관 관련 이벤트(e4, e5, 또는 e6)에 대한 속성 값이 interface-name 변수로 대체됩니다{$*.interface-name}.e3 e2 상관 관계 이벤트에 속성이 없는 interface-name 경우, 소프트웨어는 명령을 실행 show interfaces {$*.interface-name} 하지 않습니다.

및 가 모두 60초 이내에 발생하는 경우e1, 변수에 대한 e4 속성 값이 interface-name 대체됩니다{$*.interface-name}.e4 e5 이는 이벤트 프로세스(eventd)가 문에 within 구성된 대로 상관관계가 있는 이벤트를 순차적으로 검색하기 때문입니다. 이 경우 순서는 e4 > e5 > e6입니다.

예: 지정된 시간 간격 내의 다른 이벤트 수신을 기반으로 이벤트 상관 관계 분석

이 예제의 이벤트 정책은 일련의 명령을 실행하고 결과 출력 파일을 보관 사이트에 업로드합니다. 관련 이벤트 event1 또는 , 중 하나가 발생한 후 60초 이내에 트리거 이벤트 event3, event4event2, 또는 event5중 하나가 발생하면 정책이 실행됩니다. 정책의 의사 코드는 다음과 같습니다.

이벤트 정책은 구성에서 두 개의 아카이브 사이트를 지정합니다. 디바이스는 목록의 첫 번째 아카이브 사이트로 전송을 시도하고 전송이 실패하는 경우에만 다음 사이트로 이동합니다. 이벤트 정책 구성은 다음과 같습니다.

예: 이벤트 속성을 기반으로 이벤트 상관 관계 분석

다음 이벤트 정책에서 두 이벤트의 이벤트 속성 값이 일치하는 경우 해당 이벤트의 상관 관계가 있습니다. 두 이벤트의 속성을 일치시키면 두 이벤트가 관련되는지 확인할 수 있습니다. 이 경우 인터페이스 주소와 물리적 인터페이스(ifd) 이름이 일치해야 합니다.

RPD_KRT_IFDCHANGE 오류는 라우팅 프로토콜 프로세스(rpd)가 인터페이스 상태를 변경하라는 요청을 커널에 보내고 요청이 실패할 때 발생합니다. 이 RPD_RDISC_NOMULTI 오류는 인터페이스가 라우터 검색을 위해 구성되었지만 인터페이스가 필요에 따라 IP 멀티캐스트 작업을 지원하지 않을 때 발생합니다.

이 예에서 은 rpd_rdisc_nomulti.interface-name so-0/0/0.0 rpd_krt_ifdchange.ifd-index , so-0/0/0일 수 있습니다.