Korelace událostí - Event correlation - Wikipedia

Tento článek obsahuje a seznam doporučení, související čtení nebo externí odkazy, ale jeho zdroje zůstávají nejasné, protože mu chybí vložené citace. Prosím pomozte zlepšit tento článek představuji přesnější citace. (Září 2017) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

Korelace událostí je technika pro pochopení velkého počtu událostí a určení několika událostí, které jsou v této hromadě informací opravdu důležité. Toho je dosaženo hledáním a analýzou vztahů mezi událostmi.

Dějiny

Korelace událostí se již mnoho let používá v různých oblastech:

• od 70. let telekomunikace a řízení průmyslových procesů;
• od 80. let správa sítě a správa systémů;
• od 90. let Správa služeb IT, systémy publikování a odběru (hospoda / sub), Komplexní zpracování událostí (CEP) a Informace o zabezpečení a správa událostí (SIEM);
• od začátku roku 2000, Distribuované systémy založené na událostech a Monitorování obchodní činnosti (BAM).

Příklady a aplikační domény

Integrovaná správa je tradičně rozdělena do různých oblastí:

• vrstva po vrstvě: správa sítě, řízení systému, správa služeb, atd.
• podle řídící funkce: řízení výkonnosti, správa zabezpečení, atd.

Korelace událostí probíhá v různých složkách v závislosti na studijním oboru:

• V oblasti správa sítě, korelace událostí se provádí na platformě pro správu typicky známé jako Stanice pro správu sítě nebo Systém pro správu sítě (NMS). Události mohou například upozornit, že se zařízení právě restartovalo nebo že je momentálně nefunkční síťové spojení.
• V oblasti správa systémů, událost může například hlásit, že využití CPU serveru elektronického obchodu bylo na 100% po dobu více než 15 minut.
• V oblasti správa služeb může událost upozornit, že a Cíl na úrovni služby například u daného zákazníka není splněna.
• V oblasti správa zabezpečení, platforma pro správu je obvykle známá jako Informace o zabezpečení a správa událostí (SIEM) a korelace událostí se často provádí v samostatném korelačním modulu. Tento stroj může přímo přijímat události v reálném čase nebo je může číst z úložiště SIEM. V tomto případě příklady monitorovaných událostí zahrnují aktivitu, jako je ověřování, přístup ke službám a datům, a výstup z bezpečnostních nástrojů bodu, jako je Systém detekce narušení (IDS) nebo antivirový software.

V tomto článku se zaměříme na korelaci událostí v integrované správě a poskytneme odkazy na další pole.

Korelace událostí v integrovaném řízení

Cílem integrované řízení je integrovat správu sítí (datových, telefonních a multimediálních), systémů (servery, databáze a aplikace) a IT služeb soudržným způsobem. Rozsah této disciplíny zejména zahrnuje správa sítě, správa systémů a Správa na úrovni služeb.

Události a korelátor událostí

Korelace událostí obvykle probíhá uvnitř jedné nebo několika platforem pro správu. Je implementován softwarem známým jako korelátor událostí. Tato komponenta je automaticky napájena událostmi pocházejícími ze spravovaných prvků (aplikace, zařízení), monitorovacích nástrojů a Problémový systém jízdenek atd. Každá událost zachycuje něco zvláštního (z hlediska zdroje události), ke kterému došlo v oblasti zájmu korelátoru událostí, což se bude lišit v závislosti na typu analýzy, kterou se korelátor pokouší provést.

Korelátor událostí hraje klíčovou roli v integrovaném řízení, protože pouze v něm se shromažďují události z mnoha různorodých zdrojů a umožňují srovnání napříč zdroji. Toto je například místo, kde lze selhání služby připsat konkrétnímu selhání v podkladu IT infrastruktura, nebo kde lze identifikovat hlavní příčinu potenciálního bezpečnostního útoku.

Většina korelátorů událostí může přijímat události z systémy problémových lístků. Pouze někteří z nich jsou však schopni upozornit systémy na poruchové tikety, když je problém vyřešen, což částečně vysvětluje potíže Servisní stoly udržovat aktuální informace o nejnovějších zprávách. Teoreticky integrace managementu v organizacích vyžaduje, aby komunikace mezi korektorem událostí a systémem lístků s problémy fungovala oběma způsoby.

Událost může vyvolat poplach nebo nahlásit událost (což vysvětluje, proč se dříve volala korelace událostí korelace alarmu), ale ne nutně. Může také hlásit, že se situace vrací do normálu, nebo jednoduše poslat nějaké informace, které považuje za relevantní (např. Zásada P byla na zařízení D aktualizována). The vážnost události je indikace daná zdrojem události cíli události priority, že tato událost by měla být dána během zpracování.

Postupný rozklad

Korelaci událostí lze rozložit na čtyři kroky: filtrování událostí, agregace událostí, maskování událostí a analýza hlavních příčin. Pátý krok (spouštění akce) je často spojován s korelací událostí, a proto je zde krátce zmíněn.

Filtrování událostí

Filtrování událostí spočívá ve vyřazení událostí, které jsou korelátorem událostí považovány za irelevantní. Například je obtížné konfigurovat řadu spodních zařízení a příležitostně odeslat události, které nemají žádný zájem na platformu pro správu (např. Tiskárna P potřebuje papír A4 v zásobníku 1). Dalším příkladem je filtrování informačních nebo ladicích událostí pomocí korektoru událostí, který se zajímá pouze o dostupnost a chyby.

Agregace událostí

Agregace událostí je technika, kde je více událostí, které jsou velmi podobné (ale ne nutně identické) kombinovány do agregátu, který představuje podkladová data události. Jeho hlavním cílem je shrnout soubor vstupních událostí do menší kolekce, kterou lze zpracovat pomocí různých analytika metody. Například agregát může poskytovat statistické souhrny podkladových událostí a zdrojů, které jsou těmito událostmi ovlivněny. Dalším příkladem je časová agregace, kdy je stejný problém hlášen znovu a znovu zdrojem události, dokud není problém konečně vyřešen.

Deduplikace události je speciální typ agregace událostí, který spočívá ve sloučení přesných duplikátů stejné události. Takové duplikáty mohou být způsobeny nestabilitou sítě (např. Stejná událost je odeslána zdrojem událostí dvakrát, protože první instance nebyla potvrzena dostatečně rychle, ale obě instance nakonec dosáhly cíle události).

Maskování událostí

Maskování událostí (také známý jako topologické maskování v správa sítě ) spočívá v ignorování událostí vztahujících se k systémům, které jsou za nefunkčním systémem. Například servery, které jsou downstream od havarovaného routeru, selžou při dotazování na dostupnost.

Analýza kořenových příčin

Analýza kořenových příčin je posledním a nejsložitějším krokem korelace událostí. Skládá se z analýzy závislostí mezi událostmi, například na základě modelu prostředí a grafů závislostí, aby se zjistilo, zda některé události mohou vysvětlit ostatní. Například pokud databáze D běží na serveru S a tento server je trvale přetížen (CPU používán na 100% po dlouhou dobu), událost „SLA pro databázi D již není splněna“ lze vysvětlit událostí „Server S je trvale přetížen “.

Spuštění akce

V této fázi je korelátoru událostí ponechána nanejvýš hrstka událostí, na které je třeba reagovat. Přesně řečeno, korelace událostí zde končí. Zneužíváním jazyků se však korelátory událostí vyskytují na trhu (např. V správa sítě ) někdy také zahrnují možnosti řešení problémů. Mohou například automaticky spustit nápravná opatření nebo další vyšetřování.

Korelace událostí v jiných oblastech

Korelace událostí v ITIL

Rozsah ITIL je větší než integrovaná správa. Korelace událostí v ITIL je však docela podobná korelaci událostí v integrovaném řízení.

V rámci ITIL verze 2 zahrnuje korelace událostí tři procesy: Incident Management, Problem Management a Service Level Management.

V rámci ITIL verze 3 probíhá korelace událostí v procesu správy událostí. Korelátor událostí se nazývá a korelační modul.

Korelace událostí v systémech publikování a odběru

Korelace událostí v komplexním zpracování událostí

Korelace událostí v monitorování obchodních aktivit

Korelace událostí v řízení průmyslových procesů

Viz také

• Monitorování obchodní činnosti
• Kauzální uvažování
• Složité zpracování událostí
• Pravidla EÚD
• Zpracování proudu událostí
• Architektura založená na událostech
• Programování řízené událostmi
• Událostní SOA
• Správa incidentů
• Systém sledování problémů
• Správa služeb IT
• Správa sítě
• Řešení problémů
• Analýza kořenových příčin
• Dozorčí kontrola a sběr dat (SCADA)
• Správa systémů

Reference

• M. Hasan, B. Sugla a R. Viswanathan, „Koncepční rámec pro systémy korelace a filtrování událostí správy sítě“, v Proc. 6. IFIP /IEEE Mezinárodní symposium o integrované správě sítě (IM 1999), Boston, MA, USA, květen 1999, s. 233–246.
• H. G. Hegering, S. Abeck a B. Neumair, Integrovaná správa síťových systémů, Morgan Kaufmann, 1998.
• G. Jakobson a M. Weissman, „korelace alarmu“, Síť IEEE, Sv. 7, č. 6, s. 52–59, listopad 1993.
• S. Kliger, S. Yemini, Y. Yemini, D. Ohsie a S. Stolfo, „Kódovací přístup ke korelaci událostí“, v Proc. 4. mezinárodní sympozium IEEE / IFIP o integrované správě sítě (ISINM 1995)„Santa Barbara, CA, USA, květen 1995, s. 266–277.
• J.P. Martin-Flatin, G. Jakobson a L. Lewis, „Korelace událostí v integrovaném řízení: poučení a výhled“, Journal of Network and Systems Management, Sv. 17, č. 4, prosinec 2007.
• M. Sloman (ed.), „Network and Distributed Systems Management“, Addison-Wesley, 1994.

externí odkazy

• Stránka technologií korelace událostí Softpanorama