Корреляция событий - Википедия - Event correlation
Эта статья включает Список ссылок, связанное чтение или внешняя ссылка, но его источники остаются неясными, потому что в нем отсутствует встроенные цитаты.Сентябрь 2017 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Корреляция событий - это метод осмысления большого количества событий и выявления немногих событий, которые действительно важны в этой массе информации. Это достигается путем поиска и анализа взаимосвязей между событиями.
История
Корреляция событий уже много лет используется в различных областях:
- с 1970-х годов телекоммуникации и управление производственными процессами;
- с 1980-х годов управление сетью и управление системами;
- с 1990-х годов Управление ИТ-услугами, системы публикации-подписки (pub / sub), Обработка сложных событий (CEP) и Информация о безопасности и управление событиями (SIEM);
- с начала 2000-х, Распределенные системы на основе событий и Мониторинг деловой активности (БАМ).
Примеры и области применения
Интегрированное управление традиционно подразделяется на различные области:
- слой за слоем: управление сетью, управление системой, управление услугами, так далее.
- по функциям управления: управление производительностью, управление безопасностью, так далее.
Корреляция событий происходит в разных компонентах в зависимости от области исследования:
- В области управление сетью корреляция событий выполняется на платформе управления, обычно известной как Станция сетевого управления или же Система управления сетью (НМС). Например, события могут уведомлять о том, что устройство только что перезагрузилось или что сетевое соединение в настоящее время отключено.
- В области управление системами, событие может, например, сообщать, что загрузка ЦП сервера электронного бизнеса была на 100% в течение более 15 минут.
- В области управление услугами, событие может уведомить, что Цель уровня обслуживания не выполняется, например, для данного клиента.
- В области управление безопасностью, платформу управления обычно называют Информация о безопасности и управление событиями (SIEM), а корреляция событий часто выполняется в отдельном механизме корреляции. Этот движок может напрямую получать события в реальном времени или считывать их из хранилища SIEM. В этом случае примеры отслеживаемых событий включают в себя такие действия, как аутентификация, доступ к службам и данным, а также вывод средств точечной безопасности, таких как Система обнаружения вторжений (IDS) или антивирусное программное обеспечение.
В этой статье мы сосредоточимся на корреляции событий в интегрированном управлении и дадим ссылки на другие области.
Корреляция событий в интегрированном менеджменте
Цель интегрированное управление заключается в согласованной интеграции управления сетями (данные, телефон и мультимедиа), системами (серверы, базы данных и приложения) и ИТ-услугами. Сфера этой дисциплины, в частности, включает управление сетью, управление системами и Управление уровнем обслуживания.
События и коррелятор событий
Корреляция событий обычно происходит внутри одной или нескольких платформ управления. Это реализуется с помощью программного обеспечения, известного как коррелятор событий. В этот компонент автоматически поступают события, происходящие от управляемых элементов (приложений, устройств), инструментов мониторинга, Система регистрации неисправностей и т. д. Каждое событие фиксирует что-то особенное (с точки зрения источника события), которое произошло в области, представляющей интерес для коррелятора событий, которая будет варьироваться в зависимости от типа анализа, который коррелятор пытается выполнить.
Коррелятор событий играет ключевую роль в интегрированном управлении, поскольку только в нем события из множества разрозненных источников объединяются и позволяют сравнивать источники. Например, здесь отказ службы можно отнести к конкретному отказу в базовом ИТ-инфраструктура, или где можно определить основную причину потенциальной атаки на систему безопасности.
Большинство корреляторов событий могут получать события от системы регистрации неисправностей. Тем не менее, только некоторые из них могут уведомлять системы заявок о проблемах, когда проблема решена, что частично объясняет трудности для Службы обслуживания чтобы быть в курсе последних новостей. Теоретически интеграция менеджмента в организации требует, чтобы связь между коррелятором событий и системой заявок на устранение неисправностей работала в обоих направлениях.
Событие может передавать сигнал тревоги или сообщать об инциденте (что объясняет, почему корреляция событий раньше вызывалась корреляция сигналов тревоги), но не обязательно. Он также может сообщить, что ситуация возвращается в нормальное русло, или просто отправить некоторую информацию, которую он считает актуальной (например, политика P была обновлена на устройстве D). В строгость события - это указание, данное источником события назначению события, о приоритете, который должно быть дано этому событию во время обработки.
Пошаговая декомпозиция
Корреляцию событий можно разделить на четыре этапа: фильтрация событий, агрегирование событий, маскирование событий и анализ первопричин. Пятый шаг (запуск действия) часто связан с корреляцией событий и поэтому кратко упоминается здесь.
Фильтрация событий
Фильтрация событий состоит в отбрасывании событий, которые коррелятор считает нерелевантными. Например, ряд устройств нижнего предела диапазона трудно настроить, и они иногда отправляют события, не представляющие интереса, на платформу управления (например, принтеру P требуется бумага формата A4 в лотке 1). Другой пример - фильтрация информационных или отладочных событий коррелятором событий, который интересуется только доступностью и сбоями.
Агрегация событий
Агрегация событий - это метод, при котором несколько очень похожих (но не обязательно идентичных) событий объединяются в агрегат, представляющий базовые данные события. Его основная цель - суммировать набор входных событий в меньшую коллекцию, которую можно обрабатывать с помощью различных аналитика методы. Например, агрегат может предоставлять статистические сводки основных событий и ресурсов, на которые влияют эти события. Другой пример - временная агрегация, когда одна и та же проблема постоянно сообщается источником события, пока проблема не будет окончательно решена.
Дедупликация событий - это особый тип агрегирования событий, заключающийся в слиянии точных дубликатов одного и того же события. Такие дубликаты могут быть вызваны нестабильностью сети (например, одно и то же событие отправляется дважды источником события, потому что первый экземпляр не был подтвержден достаточно быстро, но оба экземпляра в конечном итоге достигают места назначения события).
Маскировка событий
Маскировка событий (также известный как топологическая маскировка в управление сетью ) состоит из игнорирования событий, относящихся к системам, находящимся ниже по течению от отказавшей системы. Например, серверы, находящиеся ниже по потоку от вышедшего из строя маршрутизатора, не смогут выполнить опрос доступности.
Анализ причин
Анализ причин это последний и самый сложный этап корреляции событий. Он состоит из анализа зависимостей между событиями, например, на основе модели среды и графов зависимостей, чтобы определить, можно ли объяснить одни события другими. Например, если база данных D работает на сервере S, и этот сервер постоянно перегружается (ЦП используется на 100% в течение длительного времени), событие «SLA для базы данных D больше не выполняется» может быть объяснено событием «Сервер S длительно перегружен ».
Запуск действия
На этом этапе коррелятору событий остается не более нескольких событий, над которыми нужно действовать. Строго говоря, на этом корреляция событий заканчивается. Однако из-за языкового злоупотребления корреляторы событий, найденные на рынке (например, в управление сетью ) иногда также включают возможности решения проблем. Например, они могут автоматически инициировать корректирующие действия или дальнейшие расследования.
Корреляция событий в других областях
Корреляция событий в ITIL
Объем ITIL больше, чем у интегрированного управления. Однако корреляция событий в ITIL очень похожа на корреляцию событий в интегрированном управлении.
В структуре ITIL версии 2 корреляция событий охватывает три процесса: управление инцидентами, управление проблемами и управление уровнем обслуживания.
В среде ITIL версии 3 корреляция событий происходит в процессе управления событиями. Коррелятор событий называется корреляционная машина.
Корреляция событий в системах публикации-подписки
Корреляция событий в сложной обработке событий
Корреляция событий в мониторинге деловой активности
Корреляция событий в управлении производственными процессами
Смотрите также
- Мониторинг деловой активности
- Причинное рассуждение
- Обработка сложных событий
- Правила ECA
- Обработка потока событий
- Архитектура, управляемая событиями
- Событийное программирование
- SOA, управляемая событиями
- Управление происшествиями
- Система отслеживания проблем
- Управление ИТ-услугами
- Управление сетью
- Управление проблемами
- Анализ причин
- Диспетчерского управления и сбора данных (SCADA)
- Системное управление
Рекомендации
- М. Хасан, Б. Сугла и Р. Вишванатан, «Концептуальная основа для систем корреляции событий сетевого управления и фильтрации», в Proc. Шестой ИФИП /IEEE Международный симпозиум по интегрированному управлению сетью (IM 1999), Бостон, Массачусетс, США, май 1999 г., стр. 233–246.
- Х. Г. Хегеринг, С. Абек и Б. Ноймар, Комплексное управление сетевыми системами, Морган Кауфманн, 1998.
- Дж. Якобсон и М. Вайсман, «Корреляция тревог», Сеть IEEE, Vol. 7, No. 6, pp. 52–59, ноябрь 1993 г.
- С. Клигер, С. Йемини, Ю. Йемини, Д. Оси и С. Столфо, «Кодирование подхода к корреляции событий», в Proc. 4-й Международный симпозиум IEEE / IFIP по интегрированному управлению сетью (ISINM 1995), Санта-Барбара, Калифорния, США, май 1995 г., стр. 266–277.
- Дж. П. Мартин-Флатин, Дж. Якобсон и Л. Льюис, «Корреляция событий в интегрированном менеджменте: извлеченные уроки и перспективы», Журнал сетевого и системного менеджмента, Vol. 17, No. 4, декабрь 2007 г.
- М. Сломан (ред.), "Управление сетями и распределенными системами", Аддисон-Уэсли, 1994.