Administración de eventos
En AggreGate, las actividades internas del servidor, las operaciones valiosas de plugins, las notificaciones asincrónicas recibidas de los dispositivos, las acciones del operador del sistema e incluso los cambios de valores se representan como eventos.
La Administración de eventos es una tecnología para dar sentido a una gran cantidad de eventos e identificar algunos que son realmente importantes. Los servidores AggreGate procesan miles de millones de eventos recibidos de diversas fuentes y generados dentro del sistema, pero sólo unos pocos son analizados manualmente por los operadores del sistema y los administradores.
Flujo de eventos
La plataforma ofrece herramientas avanzadas de administración de eventos que, en conjunto, permiten implementar estrategias complejas que incluyen monitoreo en tiempo real, filtrado, agregación, enmascaramiento, reconocimiento, enriquecimiento, correlación y análisis de causa raíz.
Monitoreo en tiempo real
El monitoreo de eventos valiosos en tiempo real es una actividad típica de los operadores del sistema en automatización, seguridad física, administración de flotas y muchas otras soluciones verticales.
Los eventos se subdividen en varios niveles de gravedad, incluidos avisos, eventos de información, advertencia, error y errores fatales. La herramienta esencial para el monitoreo de eventos es el registro de eventos disponibles en todos los tipos interfaz de usuario de AggreGate. El registro se divide en dos áreas: eventos en tiempo real e historial de eventos. El registro proporciona clasificación de eventos, filtrado, eliminación, reconocimiento y una forma de acceder a acciones relacionadas con eventos.
Hay dos tipos de eventos: eventos transitorios y persistentes. Los eventos transitorios solo se pueden procesar (por ejemplo, activar una alerta) en el momento en que se generan. Los eventos persistentes se almacenan en la base de datos del servidor y, por lo tanto, se pueden usar para análisis de tendencias, gráficos, creación de informes, etc. Todos los eventos persistentes se purgan automáticamente después de un período de caducidad configurable.
Filtrado de eventos
Los servidores AggreGate altamente cargados procesan millones de eventos por hora. Para marcar los eventos esenciales de la secuencia de eventos entrantes, los usuarios de AggreGate pueden crear y administrar filtros de eventos. Un filtro pertenece a quien lo creó, pero se puede compartir entre usuarios, debido a una configuración flexible de permisos.
Los eventos se pueden filtrar por origen (dispositivo, grupo de dispositivos, recurso del sistema o grupo de recursos), tipo de evento, nivel de gravedad del evento, parámetros de agradecimientos / enriquecimientos o cualquier criterio personalizado definido por la expresión.
Filtrar por una expresión hace que los filtros de eventos sean extremadamente flexibles. Estos son solos algunos ejemplos de cómo puede ayudar:
- Encontrar eventos disparados dentro de un rango de fecha / hora específica
- Encontrar eventos de inicio de sesión de un usuario en particular (es decir, filtrado por nombre de usuario)
- Encontrar todos los eventos que contienen una subcadena específica en cualquiera de sus campos de datos
- Encontrar todas las lecturas de temperatura recopiladas cuando la temperatura sea superior a 120 grados
- Eventos de filtrado que coinciden con la condición X y / o la condición Y, o combinaciones más complejas
Además de los criterios de selección, los filtros incluyen reglas de visualización de lista de eventos:
- Visibilidad de los parámetros básicos del evento, es decir, fuente, tipo, nivel y agradecimientos
- Visibilidad de campos específicos de eventos individuales
- Reglas de resaltado basadas en expresiones personalizadas y basadas en niveles
Se puede parametrizar un filtro para solicitar a un operador que ajuste los criterios de selección de eventos cada vez que se activa.
Los productos de mercado vertical basados en AggreGate incluyen conjuntos de filtros incorporados para ver eventos del sistema específico de la industria, eventos de dispositivos, alertas, etc..
Además de los filtros de nivel de interfaz de usuario, cada servidor tiene reglas de filtrado previo que permiten descartar ciertos eventos antes de que se guarden en la base de datos o se enruten a cualquier destino.
Agregación de eventos
La agregación, también llamada deduplicación o reducción de eventos, permite que el sistema minimice la cantidad total de eventos procesados al unir instancias que parecen ser similares según los criterios seleccionados por el usuario.
Por ejemplo, si varios intentos de inicio de sesión de un usuario específico han fallado debido a una contraseña incorrecta, esto puede reflejarse en un sólo evento de "autenticación fallida" que incluye varios duplicados.
Correlación de eventos
El motor de correlación encuentra relaciones simples entre eventos similares, generalmente uno de ellos marca el inicio de un determinado proceso o estado, y el segundo marca su finalización.
Otro caso es una secuencia de eventos correlacionados provenientes de diferentes fuentes que deberían desencadenar un evento interno más valioso.
Por ejemplo, si el evento "sensor de seguridad perimetral es activado" desde una torre de telecomunicaciones y es seguido por el evento "bajo nivel de combustible", es bastante claro que la alerta "Robo de combustible" debe ser levantada.
Evento enmascarado
Enmascarar significa ignorar los eventos que provienen de las fuentes en función de los elementos del sistema que se considera que fallan.
Un ejemplo sería suprimir los eventos del "dispositivo no disponible" que provienen de los dispositivos en caso de que la conectividad de red del servidor esté dañada. Esto evitará de manera efectiva una tormenta de eventos.
Análisis de causa raíz
Esta es la etapa más avanzada del proceso de gestión de eventos. Implica analizar las relaciones entre los eventos y su entorno seguido de encontrar una causa de cada evento.
El análisis de causa raíz se habilita mediante el uso adecuado de todas las herramientas de gestión de eventos proporcionadas por la plataforma.
Acuse de recibo del evento
Los eventos y alertas de AggreGate pueden ser reconocidas y aceptadas explícitamente por los operadores del sistema. Esto usualmente no es obligatorio, pero sin embargo, algunos eventos pueden configurarse para requerir un acuse de recibo.
Un evento puede ser reconocido::
- Del registro de eventos
- Por correo electrónico o SMS
- Desde un diálogo emergente de alerta
Cada evento puede ser reconocido varias veces, incluso por diferentes operadores. El servidor realiza un seguimiento de todos los reconocimientos.
Si se supone que un evento debe ser reconocido pero no es reconocido, su nivel de gravedad puede aumentar.
Enriquecimiento del evento
El proceso de enriquecimiento es similar al reconocimiento automático que supone extraer información externa y adjuntarla a cada instancia de evento.
Por ejemplo, un evento de alerta puede ser enriquecido con un número de ticket de problema de la mesa de ayuda.
Cola de eventos
Una vez que se organizó un evento nuevo a través del flujo de trabajo de procesamiento básico, llega a la fase de envío que puede verse diferente:
- Los eventos sincrónicos son manejados por oyentes en el mismo hilo que los produjo
- Los eventos secuenciales regulares se anexan a la cola del evento principal y luego se procesan en la cadena de distribución del evento
- Los eventos concurrentes pasan por colas de tipo específicas y su procesamiento se realiza en paralelo en un grupo de subprocesos dedicado