Управление событиями
В AggreGate внутренние действия сервера, значимые действия плагинов, полученные от устройств асинхронные уведомления, действия операторов и даже изменения значений переменных представлены как события.
Управление событиями - это технология для обработки большого количества событий и определения наиболее важных из них. Сервера AggreGate обрабатывают миллиарды событий, полученных из разнородных источников и созданных самой системой, однако только небольшая их часть вручную анализируется операторами и администраторами системы.
Поток событий
В AggreGate доступны гибкие возможности по управлению событиями, включающие фильтрацию, агрегацию, дедупликацию, маскировку, корреляцию, подтверждение, а также поиск первопричины.
Мониторинг событий в реальном времени
Мониторинг значимых событий в реальном времени является критической функцией для многих отраслей, таких как учет рабочего времени, мониторинг IT-инфраструктуры или контроль доступа. Отслеживание текущих событий является основной из задач операторов таких систем.
События подразделяются по критичности на пять уровней: Уведомление, Информация, Предупреждение, Ошибка и Критическая ошибка. Основным средством мониторинга является журнал событий, доступный во всех видах пользовательских интерфейсов AggreGate. Он разделен на две зоны: события реального времени и история событий. Журнал предоставляет базовые методы обработки событий: сортировку, фильтрацию, удаление, подтверждение и доступ к зависимым действиям.
События также подразделяются на временные и хранимые. Временные события обрабатываются в момент их возникновения (например, при срабатывании тревоги), а хранимые события записываются в базу данных сервера и могут быть использованы для последующего анализа, построения графиков, отчетов и так далее. Тем не менее, все хранимые события автоматически очищаются после некоторого настраиваемого промежутка времени.
Фильтрация событий
Высоконагруженные серверы AggreGate обрабатывают миллионы событий в час. Пользователи AggreGate имеют возможность выделять в этом потоке важные события, создавая и настраивая собственные фильтры. Владельцем фильтра является создавший его пользователь, но благодаря гибкому управлению правами фильтр может быть настроен для использования разными пользователями.
События могут быть отфильтрованы по источнику (устройство, группа устройств, внутренний ресурс или группа ресурсов), типу события, минимальному уровню критичности, параметрам подтверждений или обогащений, а также по любым другим критериям, определяемым соответствующим выражением.
Использование выражений позволяет необычайно гибко настраивать фильтры. Вот несколько примеров фильтров на основе выражений:
- Обнаружение событий, инициированных в определенный промежуток времени
- Обнаружение событий входа в систему для конкретного пользователя (фильтрация по имени пользователя)
- Обнаружение событий, содержащих конкретную подстроку в любом поле данных события
- Обнаружение всех тревог по превышению температуры 120 градусов
- Фильтрация событий по комбинации условий X и/или Y, а также более сложным условиям
Помимо критериев отбора, настройки фильтров также включают правила отображения событий:
- Видимость базовых параметров события, например, источника, типа, уровня и подтверждений
- Видимость полей, зависящих от типа события
- Пользовательские правила подсветки по уровню события или на основе выражения
Фильтр может быть параметризован, позволяя оператору настраивать критерии выбора события при каждой его активации.
Продукты для вертикальных рынков на основе AggreGate включают наборы предустановленных фильтров для обзора специфичных для соответствующих отраслей событий системы, устройств, тревог и так далее.
Помимо фильтров, применяемых через интерфейс пользователя, у каждого сервера есть правила префильтрации, позволяющие исключать определенные события перед их записью в базу данных или маршрутизацией.
Агрегация событий
Агрегация, также называемая дедупликацией или сокращением событий, позволяет системе минимизировать общее число обработанных событий путем объединения похожих в соответствии с критериями, заданными пользователем.
Например, если будет зафиксировано множество неудачных попыток входа в систему с неверным паролем, они будут объединены в одно событие «Неудачная попытка аутентификации», включающее в себя запись о количестве дубликатов данного события.
Корреляция событий
Механизм корреляции позволяет находить простые зависимости между схожими событиями, используя один маркер для обозначения начала процесса, а второй - для маркировки его окончания.
Другим случаем использования является последовательность коррелированных событий, поступающих из разных источников, которые должны вызывать более ценное внутреннее событие.
Например, если событие «Активация датчика безопасности периметра», поступившее от телекоммуникационной башни, следует сразу перед событием «Низкий уровень топлива в дизельном генераторе», очевидно, что должна сработать тревога «Кража топлива».
Маскировка событий
Маскировка событий заключается в игнорировании событий, полученных от источников, которые зависят от некорректно работающих в данный момент элементов системы.
Примером может послужить сокрытие событий «Устройство недоступно», полученных от устройств во время перебоев с сетевой доступностью сервера. Данный механизм позволяет эффективно избегать так называемого «шторма событий».
Анализ первопричин
Это наиболее сложный этап процесса управления событиями. Он включает в себя анализ связей между событиями и их окружением, чтобы найти причину каждого события.
Корректный анализ первопричин достигается за счёт правильного использования всех инструментов управления событиями, доступных в системе.
Подтверждение событий
События AggreGate могут требовать подтверждения – действия пользователя, явно подтверждающего его осведомлённость о событии. Как правило, этого не требуется, но в некоторых случаях активное вовлечение оператора может быть необходимым.
События могут быть подтверждены:
- Через журнал событий
- По E-mail или SMS
- Во всплывающем окне тревоги
События могут быть подтверждены несколько раз и даже различными операторами. Сервер сохраняет историю всех его подтверждений.
Событие можно настроить таким образом, чтобы оно поднимало свой уровень критичности в случае отсутствия подтверждения.
Обогащение событий
Процесс обогащения подобен автоматическому подтверждению, которое подразумевает запрос внешней информации и ее прикрепление к каждому экземпляру события.
Например, событие тревоги может быть обогащено номером заявки в системе Service Desk.
Очереди событий
Как только новое событие проходит стандартный процесс первоначальной обработки, оно переходит в фазу диспетчеризации. Для разных типов событий эта фаза может отличаться:
- Синхронные события вызываются обработчиками в том же потоке, в котором были инициализированы
- Наиболее стандартные последовательные события добавляются к основной очереди событий, а затем обрабатываются в потоке диспетчера событий
- Параллельно работающие события в зависимости от их типа проходят через соответствующие очереди, их обработка выполняется параллельно в выделенном пуле потоков