Корреляция событий - это метод осмысления большого количества событий и выявления нескольких событий, которые действительно важны в этой массе информации. Это достигается путем поиска и анализа взаимосвязей между событиями.
История
Корреляция событий уже много лет используется в различных областях:
- с 1970-х - телекоммуникации и управление производственными процессами ;
- с 1980-х годов - управление сетями и системами ;
- с 1990-х годов - управление ИТ-услугами , системы публикации-подписки (pub / sub), комплексная обработка событий (CEP) и управление информацией и событиями безопасности (SIEM);
- с начала 2000-х - распределенные системы на основе событий и мониторинг деловой активности (BAM).
Примеры и области применения
Интегрированный менеджмент традиционно подразделяется на различные области:
- послойно: управление сетью , управление системой , управление услугами и т.д.
- по функции управления: управление эффективностью , управление безопасностью и т.д.
Корреляция событий происходит в разных компонентах в зависимости от области исследования:
- В области управления сетью корреляция событий выполняется на платформе управления, обычно известной как Станция управления сетью или Система управления сетью (NMS). Например, события могут уведомлять о том, что устройство только что перезагрузилось или что сетевое соединение в настоящее время отключено.
- В области управления системами событие может, например, сообщать, что загрузка ЦП сервера электронного бизнеса была на 100% в течение более 15 минут.
- В области управления услугами событие может уведомить, например, о том, что цель уровня обслуживания не достигнута для данного клиента.
- В области управления безопасностью платформа управления обычно известна как Управление информацией и событиями безопасности (SIEM), и корреляция событий часто выполняется в отдельном механизме корреляции. Этот движок может напрямую получать события в реальном времени или считывать их из хранилища SIEM. В этом случае примеры отслеживаемых событий включают в себя такие действия, как аутентификация, доступ к службам и данным, а также вывод средств точечной безопасности, таких как система обнаружения вторжений (IDS) или антивирусное программное обеспечение .
В этой статье мы сосредоточимся на корреляции событий в интегрированном управлении и дадим ссылки на другие области.
Корреляция событий в интегрированном менеджменте
Целью интегрированного управления является согласованная интеграция управления сетями (данные, телефон и мультимедиа), системами (серверы, базы данных и приложения) и ИТ-услугами. Масштабы этой дисциплины в частности , включает в себя управление сетью , управление системами и Service-Level Management .
События и коррелятор событий
Корреляция событий обычно происходит внутри одной или нескольких платформ управления. Это реализуется программным обеспечением, известным как коррелятор событий . В этот компонент автоматически поступают события, происходящие от управляемых элементов (приложений, устройств), инструментов мониторинга, системы сообщений о неисправностях и т. Д. Каждое событие фиксирует что-то особенное (с точки зрения источника событий), которое произошло в области, представляющей интерес для коррелятора событий. , который будет варьироваться в зависимости от типа анализа, который пытается выполнить коррелятор.
Коррелятор событий играет ключевую роль в интегрированном управлении, поскольку только в нем события из множества разрозненных источников объединяются и позволяют сравнивать источники. Например, здесь отказ службы может быть приписан конкретному отказу в базовой ИТ-инфраструктуре или может быть идентифицирована основная причина потенциальной атаки на систему безопасности.
Большинство корреляторов событий могут получать события от систем регистрации неисправностей . Однако только некоторые из них могут уведомлять системы заявок о проблемах, когда проблема решена, что частично объясняет трудности, с которыми службы поддержки могут быть в курсе последних новостей. Теоретически интеграция менеджмента в организации требует, чтобы связь между коррелятором событий и системой заявок на устранение неисправностей работала в обоих направлениях.
Событие может передавать сигнал тревоги или сообщать об инциденте (что объясняет, почему корреляция событий раньше называлась корреляцией сигналов тревоги ), но не обязательно. Он также может сообщать, что ситуация возвращается в нормальное русло, или просто отправлять некоторую информацию, которую он считает актуальной (например, политика P была обновлена на устройстве D). Тяжесть этого события является показатель задается источником события к месту назначения событий приоритета , что данное событие должно быть уделено во время обработки.
Пошаговая декомпозиция
Корреляцию событий можно разделить на четыре этапа: фильтрация событий, агрегирование событий, маскирование событий и анализ первопричин. Пятый шаг (запуск действия) часто связан с корреляцией событий и поэтому кратко упоминается здесь.
Фильтрация событий
Фильтрация событий заключается в отбрасывании событий, которые коррелятор считает нерелевантными. Например, ряд низкоуровневых устройств сложно настроить, и они иногда отправляют события, не представляющие интереса, на платформу управления (например, принтеру P требуется бумага формата A4 в лотке 1). Другой пример - фильтрация информационных или отладочных событий коррелятором событий, который интересуется только доступностью и ошибками.
Агрегация событий
Агрегирование событий - это метод, при котором несколько очень похожих (но не обязательно идентичных) событий объединяются в агрегат, представляющий базовые данные события. Его основная цель - суммировать набор входных событий в меньшую коллекцию, которую можно обрабатывать с помощью различных методов аналитики . Например, агрегат может предоставлять статистические сводки основных событий и ресурсов, на которые эти события влияют. Другой пример - временная агрегация, когда одна и та же проблема снова и снова сообщается источником события, пока проблема не будет окончательно решена.
Дедупликация событий - это особый тип агрегации событий, заключающийся в слиянии точных дубликатов одного и того же события. Такие дубликаты могут быть вызваны нестабильностью сети (например, одно и то же событие отправляется дважды источником события, потому что первый экземпляр не был подтвержден достаточно быстро, но оба экземпляра в конечном итоге достигают места назначения события).
Маскировка событий
Маскирование событий (также известное как топологическое маскирование в управлении сетью ) состоит из игнорирования событий, относящихся к системам, находящимся ниже по потоку от отказавшей системы. Например, серверы, расположенные ниже по потоку от вышедшего из строя маршрутизатора, не смогут выполнить опрос доступности.
Анализ причин
Анализ первопричин - это последний и самый сложный этап корреляции событий. Он состоит из анализа зависимостей между событиями, например, на основе модели среды и графов зависимостей, чтобы определить, можно ли объяснить одни события другими. Например, если база данных D работает на сервере S, и этот сервер становится постоянно перегруженным (ЦП используется на 100% в течение длительного времени), событие «SLA для базы данных D больше не выполняется» может быть объяснено событием «Сервер S длительно перегружен ».
Запуск действия
На этом этапе коррелятору событий остается не более нескольких событий, над которыми необходимо действовать. Строго говоря, на этом корреляция событий заканчивается. Однако из-за языкового злоупотребления корреляторы событий, имеющиеся на рынке (например, в управлении сетью ), иногда также включают в себя возможности решения проблем. Например, они могут автоматически инициировать корректирующие действия или дальнейшие расследования.
Корреляция событий в других областях
Корреляция событий в ITIL
Сфера применения ITIL шире, чем у интегрированного управления. Однако корреляция событий в ITIL очень похожа на корреляцию событий в интегрированном управлении.
В структуре ITIL версии 2 корреляция событий охватывает три процесса: управление инцидентами, управление проблемами и управление уровнем обслуживания.
В среде ITIL версии 3 корреляция событий происходит в процессе управления событиями. Коррелятор событий называется механизмом корреляции .
Корреляция событий в системах публикации-подписки
Корреляция событий в сложной обработке событий
Корреляция событий в мониторинге деловой активности
Корреляция событий в управлении производственными процессами
Смотрите также
- Мониторинг деловой активности
- Причинное рассуждение
- Обработка сложных событий
- Правила ECA
- Обработка потока событий
- Архитектура, управляемая событиями
- Событийно-ориентированное программирование
- SOA, управляемая событиями
- Управление происшествиями
- Система отслеживания проблем
- Управление ИТ-услугами
- Управление сетью
- Управление проблемами
- Анализ причин
- Диспетчерский контроль и сбор данных (SCADA)
- Системное управление
Рекомендации
- М. Хасан, Б. Сугла и Р. Вишванатан, «Концептуальная основа для систем корреляции событий сетевого управления и фильтрации», в Proc. 6-й Международный симпозиум IFIP / IEEE по интегрированному управлению сетью (IM 1999) , Бостон, Массачусетс, США, май 1999 г., стр. 233–246.
- Х. Г. Хегеринг, С. Абек и Б. Ноймаир, Интегрированное управление сетевыми системами , Морган Кауфманн, 1998.
- Дж. Якобсон и М. Вайсман, «Корреляция сигналов тревоги», IEEE Network , Vol. 7, No. 6, pp. 52–59, ноябрь 1993 г.
- S. Kliger, S. Yemini, Y. Yemini, D. Ohsie и S. Stolfo, "Подход кодирования к корреляции событий", in Proc. 4-й Международный симпозиум IEEE / IFIP по интегрированному управлению сетью (ISINM 1995) , Санта-Барбара, Калифорния, США, май 1995 г., стр. 266–277.
- Дж. П. Мартин-Флатин, Дж. Якобсон и Л. Льюис, «Корреляция событий в интегрированном управлении: извлеченные уроки и перспективы», Журнал сетевого и системного управления , том 17, № 4, декабрь 2007 г.
- М. Сломан (ред.), "Управление сетями и распределенными системами", Аддисон-Уэсли, 1994.
Внешние ссылки
- Страница технологий корреляции событий Softpanorama