Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

상관 관계가 있는 이벤트를 사용하여 이벤트 정책 트리거

둘 이상의 상관관계 이벤트가 발생할 때 실행할 이벤트 정책을 구성합니다.

상관 이벤트 이해

단일 이벤트에 트리거되는 이벤트 정책을 구성하는 것 외에도, 둘 이상의 이벤트를 상호 연관시키는 이벤트 정책을 구성할 수도 있습니다. 지정된 대로 이벤트가 발생하면, 이벤트 정책은 구성된 액션을 실행합니다. 예를 들어, UI_COMMIT_PROGRESS 이벤트 후 5분 이내에 UI_CONFIGURATION_ERROR 이벤트가 생성될 때 특정 운영 모드 명령을 발행할 수 있습니다. 또 다른 예로, DCD_INTERFACE_DOWN 이벤트가 60초 간격 내에 두 번 생성된 경우 특정 파일을 업로드할 수 있습니다.

이벤트 정책에서 이벤트의 상관관계를 분석하려면 계층 수준에서 [edit event-options] 다음 문을 포함시킵니다.

문에서 events 여러 트리거 이벤트를 나열할 수 있습니다. 이벤트 정책에서 이벤트를 정의하는 방법에 대한 자세한 내용은 Event Policies and Event Notifications Overview를 참조하십시오. 이러한 이벤트를 다른 이벤트와 상호 연관시키려면 및/또는 attributes-match 문을 구성합니다within.

명령문은 within 트리거 이벤트 전에 지정된 시간 간격 내에 발생해야 하는(또는 발생하지 않아야 하는) 상관 이벤트를 정의합니다. 명령 attributes-match 문을 통해 시스템은 이벤트 자체뿐만 아니라 이벤트의 속성도 고려할 수 있습니다. 명령문은 attributes-match 이벤트의 속성을 다른 이벤트의 속성 또는 정규 표현식과 연관시킬 수 있습니다.

이벤트 정책은 지정된 조건이 충족되는 경우에만 문에 then 구성된 작업을 실행합니다. 다음 섹션에서는 문을 사용하는 방법에 대해 설명합니다.

시간 간격으로 이벤트 상관관계 분석

트리거 이벤트가 다른 이벤트 이후 지정된 시간 간격 내에 발생하는 경우에만 실행되도록 이벤트 정책을 구성할 수 있습니다. 문을 구성 within seconds events 하여 이 작업을 수행합니다. 정책은 첫 번째 events 문에 정의된 트리거 이벤트가 발생하기 전에 구성된 시간(초) 이내에 문에 within seconds events 정의된 상관관계 이벤트가 발생할 경우 실행됩니다. 초 수는 60에서 604,800 사이일 수 있습니다. 명령문은 not 트리거 이벤트 전에 구성된 시간 간격 내에 상관관계 이벤트가 발생하지 않는 경우에만 정책이 실행되도록 합니다.

예를 들어, 트리거 이벤트 event3, , 또는 event5중 하나가 상관분석 이벤트 event1 중 하나 또는 event2가 발생한 후 60초 이내에 발생하는 경우 디바이스는 event4다음 정책을 실행합니다.

시간 간격으로 이벤트를 상호 연관시키는 이벤트 정책 구성 방법:

  1. 하나 이상의 트리거 이벤트를 구성합니다.

  2. 트리거 이벤트 전과 지정된 시간 간격 내에 발생하거나 발생하지 않아야 하는 상관관계 이벤트를 구성합니다.

    • 상관관계 이벤트가 트리거 이벤트 전에 지정된 시간 간격 내에 발생해야 함을 지정하려면 키워드를 생략하십시오 not .

    • 상관 이벤트가 트리거 이벤트 전에 지정된 시간 간격 내에 발생하지 않도록 지정하려면 키워드를 포함하십시오 not .

  3. 조건이 충족될 경우 이벤트 정책이 실행하는 작업을 구성합니다.

메모:

트리거 이벤트 전에 상관관계 이벤트가 발생하거나 키워드를 구성하는 경우 발생하지 않으면(또는 발생하지 않으면) 디바이스가 not 이벤트 정책을 실행합니다. 트리거 이벤트 전에 여러 상관관계 이벤트가 발생(또는 발생하지 않음)하도록 요구하려면 여러 within 문을 구성하십시오. 각 명령문은 서로 다른 시간 간격을 지정해야 합니다.

또한 문은 within 트리거 이벤트가 주어진 시간 간격 내에 특정 횟수만큼 발생할 때 이벤트 정책 실행을 지원합니다. 자세한 내용은 Trigger an Event Policy Based on Event Count를 참조하십시오.

이벤트 속성을 기반으로 이벤트 상관관계 분석

많은 이벤트에는 이벤트 정책에서 참조할 수 있는 하나 이상의 속성이 있습니다. 예를 들어 이벤트에 대한 다음과 같은 시스템 로그 메시지를 생각해 보십시오 UI_COMMIT .

일반 UI_COMMIT 이벤트 메시지는 다음과 같습니다 User 'username' requested 'command' operation (comment: message).

여기에는 , command, 및 message의 세 가지 특성이 있습니다username.

문을 attributes-match 사용하면 , matchesstarts-with 비교를 사용하여 원하는 값과 이벤트 속성을 비교함으로써 보다 정확한 이벤트 정책 매칭을 equals구성할 수 있습니다. 명령문은 다음과 같이 이벤트의 상관 관계를 분석합니다.

  • event1.attribute-name equals event2.attribute-name- 속성과 event2 속성의 event1 값이 동일한 경우에만 정책을 실행합니다.

  • event.attribute-name matches regular-expression- 속성 값이 지정된 정규 표현식과 일치하는 경우에만 event 정책을 실행합니다. 자세한 내용은 Use Regular Expressions to Refine the Set of Events That Trigger a Policy를 참조하십시오.

  • event1.attribute-name starts-with event2.attribute-name- 속성 값이 속성 값으로 event2 시작하는 경우에만 event1 정책을 실행합니다.

문에서 attributes-match 참조되는 이벤트는 트리거 이벤트이거나 이벤트 정책 within 문에 포함된 상관관계 이벤트여야 합니다. 문이 다음과 같은 경우 attributes-match 하나 이상의 within 문을 정의해야 합니다.

  • 또는 starts-with 비교를 equals 포함합니다

  • 트리거 이벤트가 아닌 이벤트에 대한 절을 포함하는 비교를 포함합니다 matches .

문에는 attributes-match 여러 equals개, matchesstarts-with 비교 문이 포함될 수 있습니다. 시스템은 논리 AND 연산자를 사용하여 여러 비교 문을 평가합니다. 따라서 이벤트 정책을 실행하려면 모든 attributes-match 조건이 true로 평가되어야 합니다.

예를 들어, 여러 개의 실시간 성능 모니터링(RPM) 프로브를 구성하고 해당 프로브 중 하나가 소유자 이름을 Connectivity 사용하고 라는 Management테스트가 있다고 가정합니다. 이벤트 정책에서 프로브의 ping_test_failed 이벤트를 참조하는 경우 이벤트를 생성한 RPM 프로브 테스트를 구별해야 합니다. 다음 이벤트 정책은 이벤트의 test-ownertest-name 속성과 일치 ping_test_failed 하므로 이벤트 정책은 올바른 프로브에 대해서만 트리거됩니다. 이벤트 정책은 두 일치 조건이 모두 참인 경우에만 실행됩니다.

마찬가지로, 다음 이벤트 정책은 속성이 있는 messages 비표준 SYSTEM 이벤트에서 트리거됩니다. 문에서 attributes-match 이벤트 정책을 호출하려면 모든 matches 문이 참이어야 합니다.

문 내에서 attributes-match 이벤트 정책 변수를 사용하여 트리거 이벤트 속성과 상관 이벤트 속성을 구별할 수 있습니다. 트리거 이벤트는 계층 수준에서 구성하는 [edit event-options policy policy-name events] 이벤트입니다. 이중 달러 기호($$) 표기법은 정책을 트리거하는 이벤트를 나타내며 {$$.attribute-name} , 트리거하는 이벤트의 속성 값으로 해석됩니다. 이벤트 상관 관계의 경우, 이벤트 이름($event) 표기법이 있는 단일 달러 기호는 이벤트 이름과 일치하는 가장 최근 이벤트를 나타내며 {$event.attribute-name} 해당 이벤트와 연관된 속성 값으로 확인됩니다.

예를 들어, 다음 이벤트 정책은 5분 이내에 4개 이상의 커밋이 수행되고 상관관계 이벤트 중 하나 이상의 사용자 이름이 트리거 이벤트의 사용자 이름과 동일한 경우 문 아래의 then 작업을 실행합니다.

특정 이벤트에 대해 참조할 수 있는 속성을 찾는 방법에는 여러 가지가 있습니다.

  • 시스템 로그 탐색기를 사용합니다.

  • CLI help syslog event 에서 운영 모드 명령을 사용합니다.

  • 속성을 구성할 때 구성 모드에서 상황에 맞는 도움말을 사용하십시오.

시스템 로그 탐색기 애플리케이션을 사용하면 지정된 운영 체제 및 릴리스에 대한 표준 시스템 로그 메시지를 검색할 수 있습니다. 메시지 세부 정보에는 해당 이벤트에 대해 참조할 수 있는 특성이 포함됩니다.

또는 CLI help syslog event 에서 운영 모드 명령은 주어진 이벤트에 대해 참조할 수 있는 속성 목록도 표시합니다. 명령 출력에는 꺾쇠 괄호(<>)안에 이벤트 속성이 표시됩니다. 다음 출력은 이벤트에 참조filename할 수 있는 세 가지 속성(, file-size, 및 )이 record-size있음을 보여줍니다ACCT_ACCOUNTING_SMALL_FILE_SIZE.

메모:

파이프(|) 기호를 사용하여 검색 출력을 필터링할 수 있습니다. 파이프 기호 사용에 대한 자세한 정보는 CLI 사용자 가이드를 참조하세요.

또한 다음 예시와 같이 계층 수준에서 [edit event-options policy policy-name] 구성 모드 명령을 실행하여 set attributes-match event? 이벤트 속성을 볼 수 있습니다.

메모:

set 명령에서는 이벤트 이름과 물음표(?) 사이에 공백이 없습니다.

이벤트 정책에서 이벤트 트리거 및 상관관계 지정을 나타내는 방법

이벤트 스크립트 인수 및 명령문과 같은 지원되는 이벤트 정책 명령문에서execute-commands, 이벤트 정책 변수를 사용하여 트리거하는 이벤트상관 이벤트를 구별할 수 있습니다. 트리거링 및 상관관계 이벤트는 계층 수준에서 다음 문으로 구성됩니다.[edit event-options policy policy-name]

  • 이벤트 트리거—문에서 events 구성
  • 상관관계 이벤트 - 문에서 within seconds events 구성됩니다

다음 양식의 이벤트 정책 변수를 사용하여 이벤트 트리거 및 상관 관계를 나타낼 수 있습니다.

  • {$$.attribute-name}- 이중 달러 기호($$) 표기법은 정책을 트리거하는 이벤트를 나타냅니다. 속성 이름과 결합되면 변수는 트리거된 이벤트와 연관된 속성의 값으로 해석됩니다. 예를 들어 은(는) {$$.interface-name} 트리거 이벤트와 연관된 인터페이스 이름으로 해결됩니다.

  • {$event.attribute-name}- 이벤트 이름($event) 표기법이 있는 단일 달러 기호는 와 일치하는 event가장 최근 이벤트를 나타냅니다. 속성 이름과 결합되면 변수는 해당 이벤트와 연관된 속성의 값으로 확인됩니다. 예를 들어 정책에서 명령을 {$COSD_CHAS_SCHED_MAP_INVALID.interface-name} 실행 show interfaces {$COSD_CHAS_SCHED_MAP_INVALID.interface-name} 하면 변수는 이벤트 프로세스에 의해 캐시된 가장 최근 COSD_CHAS_SCHED_MAP_INVALID 이벤트와 연관된 인터페이스 이름으로 확인됩니다.

  • {$*.attribute-name}- 별표($*) 표기법이 있는 달러 기호는 상관 관계가 있는 이벤트와 일치하는 가장 최근 이벤트를 나타냅니다. 변수는 정책 구성에 지정된 상관 관계가 있는 이벤트와 일치하는 가장 최근 이벤트와 관련된 속성 값으로 확인됩니다.

이벤트 정책에서는 이벤트 정책 변수를 사용하여 특정 이벤트를 참조할 수 있습니다. 다음 이벤트 정책을 고려합니다.

show interfaces {$$.interface-name} 명령에서 이벤트e1, e2또는 e3 의 속성 값이 interface-name 변수를 대체합니다{$$.interface-name}.

show interfaces {$e4.interface-name} 명령에서 가장 최근 e4 이벤트의 속성 값이 interface-name 변수를 대체합니다{$e4.interface-name}.

show interfaces {$*.interface-name} 명령에서 가장 최근e4, e5또는 e6 이벤트의 속성 값이 interface-name 변수를 대체합니다{$*.interface-name}. , e2, 또는 e3e1하나가 , 또는 e6이후 60초 e4이내에 발생하는 경우, e5해당 상관 이벤트에 대한 속성 값interface-name(e4, e5, 또는 e6)이 변수를 대체합니다{$*.interface-name}. 상관관계 이벤트에 속성이 없는 interface-name 경우, 소프트웨어는 명령을 실행 show interfaces {$*.interface-name} 하지 않습니다.

e5(과) 둘 다 e4 의 60초 이내에 발생하는 경우e1, 에 대한 e4 속성의 interface-name 값이 변수를 대체합니다{$*.interface-name}. 이는 이벤트 프로세스(eventd)가 문에 구성된 순서대로 상관 관계를 가진 이벤트를 검색하기 within 때문입니다. 이 경우 순서는 e4 > e5 >e6입니다.

예: 지정된 시간 간격 내의 다른 이벤트 수신을 기반으로 이벤트 상관관계 분석

이 예제의 이벤트 정책은 명령 세트를 실행하고 결과 출력 파일을 아카이브 사이트에 업로드합니다. 이 정책은 트리거 이벤트 event3, , 또는 event5중 하나가 상관관계 이벤트 event1 또는 event2이 발생한 후 60초 event4이내에 발생하면 실행됩니다. 정책에 대한 의사 코드는 다음과 같습니다.

이벤트 정책은 구성에서 두 개의 아카이브 사이트를 지정합니다. 장치는 목록의 첫 번째 아카이브 사이트로 전송을 시도하고 전송이 실패한 경우에만 다음 사이트로 이동합니다. 이벤트 정책 구성은 다음과 같습니다.

예: 이벤트 속성을 기반으로 이벤트 상관관계 분석

다음 이벤트 정책에서는 해당 이벤트 속성 값이 일치할 경우 두 이벤트의 상관 관계가 있습니다. 두 이벤트의 특성을 일치시키면 두 이벤트가 관련되어 있는지 확인할 수 있습니다. 이 경우 인터페이스 주소와 물리적 인터페이스(ifd) 이름이 일치해야 합니다.

이 오류는 RPD_KRT_IFDCHANGE 라우팅 프로토콜 프로세스(rpd)가 인터페이스 상태를 변경하기 위해 커널에 요청을 전송하고 요청이 실패할 때 발생합니다. 이 오류는 인터페이스가 RPD_RDISC_NOMULTI 라우터 검색을 위해 구성되었지만 인터페이스가 필요에 따라 IP 멀티캐스트 작업을 지원하지 않을 때 발생합니다.

이 예 rpd_rdisc_nomulti.interface-name 에서 는 so-0/0/0.0일 수 있고 rpd_krt_ifdchange.ifd-index so-0/0/0일 수 있습니다.

관련 설명서