Händelsekorrelation

Händelsekorrelation är en teknik för att förstå ett stort antal händelser och peka ut de få händelser som verkligen är viktiga i den informationsmassan. Detta uppnås genom att leta efter och analysera samband mellan händelser.

Historia

Händelsekorrelation har använts inom olika områden i många år:

Exempel och applikationsdomäner

Integrerad förvaltning är traditionellt indelad i olika områden:

Händelsekorrelation sker i olika komponenter beroende på studieområde:

I den här artikeln fokuserar vi på händelsekorrelation i integrerad hantering och tillhandahåller länkar till andra områden.

Händelsekorrelation i integrerad förvaltning

Målet med integrerad förvaltning är att integrera hanteringen av nätverk (data, telefon och multimedia), system (servrar, databaser och applikationer) och IT-tjänster på ett sammanhängande sätt. Omfattningen av denna disciplin inkluderar särskilt nätverkshantering , systemhantering och Service-Level Management .

Händelser och händelsekorrelator

Händelsekorrelation sker vanligtvis inom en eller flera förvaltningsplattformar. Det implementeras av en mjukvara som kallas händelsekorrelatorn . Den här komponenten matas automatiskt med händelser som härrör från hanterade element (applikationer, enheter), övervakningsverktyg, Trouble Ticket System, etc. Varje händelse fångar något speciellt (ur händelsekällans synvinkel) som hände i domänen av intresse för händelsekorrelatorn , vilket kommer att variera beroende på vilken typ av analys som korrelatorn försöker utföra.

Händelsekorrelatorn spelar en nyckelroll i integrerad hantering, för endast inom den samlas händelser från många olika källor och möjliggör jämförelser mellan källor. Till exempel är det här felet i en tjänst kan tillskrivas ett specifikt fel i den underliggande IT-infrastrukturen , eller där grundorsaken till en potentiell säkerhetsattack kan identifieras.

De flesta händelsekorrelatorer kan ta emot händelser från problembiljettsystem . Det är dock bara några av dem som kan meddela problem med system för biljett när ett problem är löst, vilket delvis förklarar svårigheten för Service Desks att hålla sig uppdaterad med de senaste nyheterna. I teorin kräver integreringen av ledning i organisationer att kommunikationen mellan händelsekorrelatorn och problembiljettsystemet fungerar åt båda hållen.

En händelse kan förmedla ett larm eller rapportera en incident (vilket förklarar varför händelsekorrelation brukade kallas larmkorrelation ), men inte nödvändigtvis. Den kan också rapportera att en situation återgår till det normala, eller helt enkelt skicka information som den anser vara relevant (t.ex. policy P har uppdaterats på enhet D). svårighetsgrad är en indikation som ges av händelsekällan till händelsedestinationen om prioritet som denna händelse ska ges under bearbetning .

Steg-för-steg nedbrytning

Händelsekorrelation kan delas upp i fyra steg: händelsefiltrering, händelseaggregation, händelsemaskering och rotorsaksanalys. Ett femte steg (åtgärdsutlösande) förknippas ofta med händelsekorrelation och nämns därför kort här.

Händelsefiltrering

Händelsefiltrering består i att förkasta händelser som bedöms vara irrelevanta av händelsekorrelatorn. Till exempel är ett antal enheter som ligger längst ner i sortimentet svåra att konfigurera och skickar ibland händelser som inte är intressanta till hanteringsplattformen (t.ex. skrivare P behöver A4-papper i fack 1). Ett annat exempel är filtrering av informations- eller felsökningshändelser av en händelsekorrelator som bara är intresserad av tillgänglighet och fel.

Händelseaggregation

Händelseaggregering är en teknik där flera händelser som är mycket lika (men inte nödvändigtvis identiska) kombineras till ett aggregat som representerar den underliggande händelsedatan. Dess huvudsakliga mål är att sammanfatta en samling ingångshändelser till en mindre samling som kan bearbetas med olika analysmetoder . Till exempel kan aggregatet ge statistiska sammanfattningar av de underliggande händelserna och de resurser som påverkas av dessa händelser. Ett annat exempel är tidsmässig aggregering, när samma problem rapporteras om och om igen av händelsekällan, tills problemet slutligen är löst.

Event de-duplicering är en speciell typ av händelseaggregation som består i att slå samman exakta dubbletter av samma händelse. Sådana dubbletter kan orsakas av nätverksinstabilitet (t.ex. samma händelse skickas två gånger av händelsekällan eftersom den första instansen inte bekräftades tillräckligt snabbt, men båda instanserna når så småningom händelsedestinationen).

Händelsemaskering

Händelsemaskering (även känd som topologisk maskering i nätverkshantering ) består av att ignorera händelser som hänför sig till system som är nedströms ett misslyckat system. Till exempel kommer servrar som är nedströms en kraschad router att misslyckas med tillgänglighetsundersökning.

Grundorsaksanalys

Grundorsaksanalys är det sista och mest komplexa steget i händelsekorrelation. Den består av att analysera beroenden mellan händelser, baserat till exempel på en modell av miljön och beroendegrafer, för att upptäcka om vissa händelser kan förklaras av andra. Till exempel, om databas D körs på server S och denna server blir varaktigt överbelastad (CPU används till 100 % under lång tid), kan händelsen "SLA för databas D inte längre uppfylls" förklaras av händelsen "Server S är varaktigt överbelastad”.

Åtgärd som utlöser

I detta skede lämnas händelsekorrelatorn med högst en handfull händelser som behöver åtgärdas. Strängt taget slutar händelsekorrelation här. Men genom språkmissbruk inkluderar händelsekorrelatorerna som finns på marknaden (t.ex. inom nätverkshantering ) ibland också problemlösningsmöjligheter. De kan till exempel utlösa korrigerande åtgärder eller ytterligare utredningar automatiskt.

Händelsekorrelation inom andra områden

Händelsekorrelation i ITIL

Omfattningen av ITIL är större än den för integrerad förvaltning. Emellertid är händelsekorrelation i ITIL ganska lik händelsekorrelation i integrerad hantering.

I ITIL version 2-ramverket sträcker sig händelsekorrelation över tre processer: Incident Management, Problem Management och Service Level Management.

I ITIL version 3-ramverket sker händelsekorrelation i Event Management-processen. Händelsekorrelatorn kallas en korrelationsmotor .

Händelsekorrelation i publicera-prenumerera system

Huvudartikel: Publicera-prenumerera mönster

Händelsekorrelation i komplex händelsebearbetning

Huvudartikel: Komplex händelsebearbetning

Händelsekorrelation i affärsaktivitetsövervakning

Huvudartikel: Uppföljning av affärsaktivitet

Händelsekorrelation i industriell processtyrning

Huvudartikel: Tillsynskontroll och datainsamling

Se även

  • M. Hasan, B. Sugla och R. Viswanathan, "A Conceptual Framework for Network Management Event Correlation and Filtering Systems", i Proc. 6:e IFIP / IEEE International Symposium on Integrated Network Management (IM 1999) , Boston, MA, USA, maj 1999, s. 233–246.
  • HG Hegering, S. Abeck och B. Neumair, Integrated Management of Networked Systems , Morgan Kaufmann, 1998.
  • G. Jakobson och M. Weissman, "Alarm Correlation", IEEE Network , vol. 7, nr 6, s. 52–59, november 1993.
  • S. Kliger, S. Yemini, Y. Yemini, D. Ohsie och S. Stolfo, "A Coding Approach to Event Correlation", i Proc. 4th IEEE/IFIP International Symposium on Integrated Network Management (ISINM 1995) , Santa Barbara, CA, USA, maj 1995, s. 266–277.
  • JP Martin-Flatin, G. Jakobson och L. Lewis, "Event Correlation in Integrated Management: Lessons Learned and Outlook", Journal of Network and Systems Management , Vol. 17, nr 4, december 2007.
  • M. Sloman (Ed.), "Network and Distributed Systems Management", Addison-Wesley, 1994.

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Event_correlation&oldid=991439878 "