操作员级别 Orchestrator 警示和事件

提供了在 VMware SASE Orchestrator 中以操作员级别生成的警示和事件的摘要。

本文档提供了有关所有操作员级别 Orchestrator 事件的详细信息。虽然这些事件存储在 SASE Orchestrator 中并显示在 Orchestrator UI 上，但大多数事件是由 SD-WAN 网关和/或它的某个运行组件（MGD、PROCMON 等）生成的，Orchestrator 本身仅生成少数几个事件。您只能在 Orchestrator 中为事件配置通知/警示。

下表对“操作员级别 Orchestrator 事件”表中的每一列进行了说明：


列名	详细信息
事件	事件的唯一名称
在 Orchestrator UI 上的显示方式	指定如何在 Orchestrator 上显示事件。
严重性	通常生成该事件时具有的严重性。
生成方	生成通知的 VMware SD-WAN 组件可能是以下组件之一： SASE Orchestrator SD-WAN 网关
生成时间	生成该事件的技术原因和条件。
添加事件的版本	首次添加了此事件的版本。如果未指定，则表示此事件存在于版本 2.5 之前的版本。
已弃用	指定是否从特定版本开始弃用该事件。

操作员级别 Orchestrator 事件

事件	在 Orchestrator UI 上的显示方式	严重性	生成方	生成时间	添加事件的版本
GATEWAY_UP	网关启动	信息	SASE Orchestrator	在与 Orchestrator 断开连接后，网关恢复。
GATEWAY_DOWN	网关关闭	信息	SASE Orchestrator	在与 Orchestrator 断开连接后，网关无法通信。
GATEWAY_LARGE_PKT_SIZE	已超过数据包大小限制	信息	SD-WAN 网关	已超过来自网关对等体的数据包大小限制。
GATEWAY_SERVICE_FAILED	网关服务失败	错误	SD-WAN 网关	网关上的 GWD 服务失败。
GATEWAY_BFD_NEIGHBOR_UP	已建立到网关邻居的 BFD 会话	信息	SD-WAN 网关	网关 BFD 邻居恢复启动
GATEWAY_BFD_NEIGHBOR_DOWN	网关 BFD 邻居不可达	信息	SD-WAN 网关	网关 BFD 邻居再次关闭
GATEWAY_ICMP_PROBE_UNSTABLE	SD-WAN 网关：ICMP 探测不稳定	警示	SD-WAN 网关	ICMP 探测在合作伙伴网关上关闭。
GATEWAY_REBALANCE	已重新均衡网关	信息	SASE Orchestrator
PROXY_ENABLE_OPERATOR_ACCESS	已将合作伙伴访问权限委派给操作员	信息	SASE Orchestrator
PROXY_DISABLE_OPERATOR_ACCESS	已吊销操作员的合作伙伴访问权限	信息	SASE Orchestrator
VRF_ROUTEMAP_RULES_MAX_LIMIT_HIT	已超过 VRF 路由映射规则限制	警告	SD-WAN 网关	已超过 VRF 入站/出站路由映射最大限制 (32)。
VRF_LIMIT_EXCEEDED	已超过 VRF 限制	警示	SD-WAN 网关	配置的 VRF 条目数超过最大限制 (1000)。
ENABLE_EXTERNAL_CA	已启用外部 CA	严重	SASE Orchestrator	ca.external.enable 属性设置为 true。	4.3.0
DISABLE_EXTERNAL_CA	已禁用外部 CA	严重	SASE Orchestrator	ca.external.enable 属性设置为 false。	4.3.0
INSERT_EXTERNAL_CA	已插入外部 CA	严重	SASE Orchestrator	外部 CA 已插入到 VELOCLOUD_CERTIFICATE_AUTHORITY 表中，并成为受信任的颁发者。	4.3.0
GATEWAY_MIGRATION_CREATE	已创建网关迁移	信息	SASE Orchestrator	已激活自助迁移。	4.5.0
GATEWAY_MIGRATION_REMOVE	已移除网关迁移	信息	SASE Orchestrator	已停用自助迁移。	4.5.0
GATEWAY_MIGRATION_STATE_CHANGE	已更改网关迁移状态	信息	SASE Orchestrator	网关迁移状态从一种状态变为另一种状态。	4.5.0
CREATE_COMPOSITE_ROLE	已创建复合角色	信息	SASE Orchestrator	企业、合作伙伴或操作员创建了复合角色。	4.5.0
UPDATE_COMPOSITE_ROLE	已更新复合角色	信息	SASE Orchestrator	企业、合作伙伴或操作员更新了复合角色。	4.5.0
DELETE_COMPOSITE_ROLE	已删除复合角色	信息	SASE Orchestrator	企业、合作伙伴或操作员删除了复合角色。	4.5.0
CA_VALIDATION	CA 验证失败	警示	SASE Orchestrator	已拒绝 CA 证书属性。	5.0.0
EI_ACTIVATION_CONFIG_SENT	已发送 EI 激活配置	信息	SASE Orchestrator	已成功将激活配置发送到 EI 服务器。	5.0.0
Auto_Rate_Limit_Enabled	已启用自动速率限制	警告	SD-WAN 网关	如果网关检测到某些 Edge 发送大量流量而可能导致网关不稳定并丢弃数据包，则会在网关上激活自动速率限制功能。事件消息包括有关激活了自动速率限制的 Edge 列表的信息（企业、速率限制百分比）。	5.2.0
Auto_Rate_Limit_Disabled	已禁用自动速率限制	警告	SD-WAN 网关	已恢复网关自动速率限制状况。	5.2.0
SELF_HEALING_REPORT	anomaly_type: <远程路由不一致>，num_routes_recovered: <数字>，shr state: <完成>	警示	SD-WAN 网关	在从连接到 SD-WAN 网关的客户企业中检测到路由丢失时生成，网关使用自修复路由功能恢复丢失的路由以纠正该问题。	5.2.0
POLL_IDPS_SIGNATURE_FAIL	从 GSM 查询并下载特征码文件的轮询作业失败	错误	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业无法从 GSM 中检索或下载 Suricata 特征码并使用新的特征码元数据更新配置文件时。	5.2.0
IDPS_SIGNATURE_VCO_VERSION_CHECK_FAIL	从本地数据库查询现有特征码版本失败 (Querying existing signature version from local DB failed)	错误	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业无法从 Orchestrator 的本地数据库中检索现有 suricata 特征码版本时。	5.2.0
IDPS_SIGNATURE_GSM_VERSION_CHECK_FAIL	从 GSM 查询特征码元数据失败 (Querying signature metadata from GSM failed)	错误	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业无法从 GSM 检索现有 suricata 特征码元数据（包括特征码版本）时。	5.2.0
IDPS_SIGNATURE_SKIP_DOWNLOAD_NO_UPDATE	由于特征码版本没有变化，正在跳过特征码下载 (Skipping signature download due to no change in signature version)	信息	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业由于 suricata 特征码文件版本没有变化而跳过 suricata 特征码文件下载时。	5.2.0
IDPS_SIGNATURE_STORE_FAILURE_NO_PATH	未设置要存储特征码文件的文件存储路径 (Filestore path not set to store signature file)	错误	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业由于未设置文件存储路径而无法存储 suricata 特征码文件时。	5.2.0
IDPS_SIGNATURE_DOWNLOAD_SUCCESS	已成功从 GSM 下载特征码文件 (Successfully downloaded signature file from GSM)	信息	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业成功从 GSM 下载 suricata 特征码文件时。	5.2.0
IDPS_SIGNATURE_DOWNLOAD_FAILURE	未能从 GSM 下载特征码文件 (Failed to download signature file from GSM)	错误	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业无法从 GSM 下载 suricata 特征码文件时。	5.2.0
IDPS_SIGNATURE_STORE_SUCCESS	已成功在文件存储中存储特征码文件 (Successfully stored the signature file in filestore)	信息	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业成功将 suricata 特征码文件存储在本地文件存储中时。	5.2.0
IDPS_SIGNATURE_STORE_SIGNATURE_FAILURE	未能在文件存储中存储特征码文件 (Failed to store the signature file in filestore)	错误	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业无法将 suricata 特征码文件存储在本地文件存储中时。	5.2.0
IDPS_SIGNATURE_METADATA_INSERT_SUCCESS	已成功将特征码文件的元数据添加到本地数据库 (Successfully added metadata of the signature file to local DB)	信息	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业成功将 suricata 特征码文件的元数据添加到本地数据库中时。	5.2.0
IDPS_SIGNATURE_METADATA_INSERT_FAILURE	无法将特征码文件的元数据添加到本地数据库 (Failure to add metadata of the signature file to local DB)	错误	SASE Orchestrator	在 SASE Orchestrator 后端轮询作业无法将 suricata 特征码文件的元数据添加到本地数据库中时。	5.2.0
POLL_URL_CATEGORIES_FAIL	POLL_URL_CATEGORIES_FAIL	错误	SASE Orchestrator	在 SASE Orchestrator URL 类别轮询作业失败时生成。	6.0.0
URL_CATEGORIES_STORE_SUCCESS	URL_CATEGORIES_STORE_SUCCESS	信息	SASE Orchestrator	在成功存储 SASE Orchestrator URL 类别时生成。	6.0.0
URL_CATEGORIES_STORE_FAILURE	URL_CATEGORIES_STORE_FAILURE	错误	SASE Orchestrator	在 SASE Orchestrator URL 类别存储作业失败时生成。	6.0.0
VCO_ENTERPRISE_NTICS_LICENSE_REQUEST_FAILED	VCO_ENTERPRISE_NTICS_LICENSE_REQUEST_FAILED	错误	SASE Orchestrator	在 SASE Orchestrator Enterprise NTICS 许可证请求失败时生成。	6.0.0
VCO_ENTERPRISE_NTICS_LICENSE_REQUEST_SUCCEEDED	NTICS 许可证请求成功	信息	SASE Orchestrator	在 SASE Orchestrator Enterprise NTICS 许可证请求成功时生成。	6.0.0

SD-WAN 网关容量事件

目前，SD-WAN 网关分配基于地理远近程度，而不考虑 SD-WAN 网关容量运行状况衡量指标。为了改进 Edge 到网关的分配，根据警告和严重阈值定期监控容量运行状况衡量指标（Edge 计数、隧道计数、PKI 激活的隧道计数、流量计数、NAT 计数、数据包队列水印和数据包丢弃计数）。在任何衡量指标计数高于定义的警告和严重阈值时，将生成并向 SASE Orchestrator 报告网关容量事件。操作员和合作伙伴可以通过这些事件清楚地了解网关运行状况，从而进行智能且正确的网关分配。

以下是根据容量阈值限制生成的 SD-WAN 网关容量事件。


衡量指标	触发器	事件	严重性	消息	事件详细信息
Edge 计数	高于警告阈值。警告阈值是以下支持值的 90%： 4 个 CPU、32G MEM - 2000 8 个 CPU、32G MEM - 4000	GATEWAY_DEGRADED	通知	由于连接的 Edge 数较高而发出超过容量警示，因为网关超过警告阈值。	4 个 CPU：连接的 Edge 数高于警告阈值 (1800)。 8 个 CPU：连接的 Edge 数高于警告阈值 (3600)。
Edge 计数	高于严重阈值。严重阈值是以下支持值的 95%： 4 个 CPU、32G MEM - 2000 8 个 CPU、32G MEM - 4000	GATEWAY_CRITICAL	通知	由于连接的 Edge 数较高而发出超过容量警示，因为网关超过严重阈值。	4 个 CPU：连接的 Edge 数高于严重阈值 (1900)。 8 个 CPU：连接的 Edge 数高于严重阈值 (3800)。
Edge 计数	低于警告阈值	GATEWAY_STABLE	信息	已恢复由于连接的 Edge 数较高而导致的超过容量状况。	连接的 Edge 数在可接受的阈值范围内。
隧道计数	高于警告阈值。警告阈值是以下支持值的 90%： 4 个 CPU、32G MEM - 3000 8 个 CPU、32G MEM - 6000	GATEWAY_DEGRADED	通知	由于隧道数较高而发出超过容量警示。	4 个 CPU：隧道数高于警告阈值 (2700)。 8 个 CPU：隧道数高于警告阈值 (5400)。
隧道计数	高于严重阈值。严重阈值是以下支持值的 95%： 4 个 CPU、32G MEM - 3000 8 个 CPU、32G MEM - 6000	GATEWAY_CRITICAL	通知	由于隧道数较高而发出超过容量警示。	4 个 CPU：隧道数高于严重阈值 (2850)。 8 个 CPU：隧道数高于严重阈值 (5700)。
隧道计数	低于警告阈值	GATEWAY_STABLE	信息	已恢复由于隧道数较高而导致的超过容量状况。	隧道数在可接受的阈值范围内。
流量计数	高于警告阈值。警告阈值是支持值 1920000 的 50%。	GATEWAY_DEGRADED	通知	由于流量数较高而发出超过容量警示。	流量数高于警告阈值 (960000)。
流量计数	高于严重阈值。严重阈值是支持值 1920000 的 75%。	GATEWAY_CRITICAL	通知	由于流量数较高而发出超过容量警示。	流量数高于严重阈值 (1440000)。
流量计数	低于警告阈值	GATEWAY_STABLE	信息	已恢复由于流量数较高而导致的超过容量状况。	流量数在可接受的阈值范围内。
NAT 条目计数	高于警告阈值。警告阈值是支持值 1920000 的 50%。	GATEWAY_DEGRADED	通知	由于 NAT 条目数较高而发出超过容量警示。	NAT 条目数高于警告阈值 (960000)。
NAT 条目计数	高于严重阈值。严重阈值是支持值 1920000 的 75%。	GATEWAY_CRITICAL	通知	由于 NAT 条目数较高而发出超过容量警示。	NAT 条目数高于严重阈值 (1440000)。
NAT 条目计数	低于警告阈值	GATEWAY_STABLE	信息	已恢复由于 NAT 条目数较高而导致的超过容量状况。	NAT 条目数在可接受的阈值范围内。
数据包队列水印	高于严重阈值	GATEWAY_CRITICAL	通知	由于数据包队列水印较高而发出超过容量警示。	数据包队列水印连续 5 秒高于严重阈值 (6000)。
数据包队列水印	高于警告阈值	GATEWAY_DEGRADED	通知	由于数据包队列水印较高而发出超过容量警示。	数据包队列水印连续 10 秒高于警告阈值 (2000)。
数据包队列水印	低于警告阈值	GATEWAY_STABLE	信息	已恢复由于数据包队列水印较高而导致的超过容量状况。	数据包队列水印在可接受的阈值范围内。
数据包丢弃计数	高于严重阈值	GATEWAY_CRITICAL	通知	由于丢弃的数据包数较高而发出超过容量警示。	丢弃的数据包数连续 5 秒高于严重阈值 (2000)。
数据包丢弃计数	高于警告阈值	GATEWAY_DEGRADED	通知	由于丢弃的数据包数较高而发出超过容量警示。	丢弃的数据包数连续 10 秒高于警告阈值 (500)。
数据包丢弃计数	低于警告阈值	GATEWAY_STABLE	信息	已恢复由于丢弃的数据包数较高而导致的超过容量状况。	丢弃的数据包数在可接受的阈值范围内。