Prozess-Flow in Ereignismanagement

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Ereignismanagement sammelt, analysiert und konvertiert Ereignisse in Warnungen und ermöglicht so eine effiziente Nachverfolgung und Behebung.

    Ereignismanagement empfängt externe Events und generiert Warnungen basierend auf den Event- und Warnungsverwaltungsregeln. Ereignisse werden über E-Mail-Server, Skript, SNMP-Trap oder Webservice-API direkt an Ihre Instanz gesendet. Die entsprechenden Warnungen werden zu Nachverfolgungs- und Nachbesserungszwecken in Dashboards angezeigt.

    Während der Computer, die Software oder der Service Events generiert, ruft der MID-Server das externe Event-Nachverfolgungstool ab. Der MID-Server, der eine Verbindung zu Ereignismanagementaufrechterhält, sendet die Informationen zur Speicherung, Verarbeitung und Korrektur an Ihre -Instanz.

    Die Instanz speichert Ereignisse in der Tabelle „Ereignis“ [em_event] und versucht, Warnungen basierend auf vordefinierten Regeln und Ereigniszuordnungen zu generieren. Unabhängig davon, ob eine Warnung generiert wird, steht das ursprüngliche Ereignis zur Überprüfung und Korrektur zur Verfügung. Warnungen werden gemäß dem folgenden Prozessablauf generiert.

    1. Ereignisregel abgleichen: Suchen Sie die am besten übereinstimmende Ereignisregel für ein Ereignis.

      Eine Regel wird abgeglichen, wenn die Quelle des Ereignisses mit der in einer vorhandenen Regel angegebenen Quelle übereinstimmt. Darüber hinaus wird eine Regel abgeglichen, wenn das Ereignis mit dem optionalen Regelfilter übereinstimmt und der Wert „additional_info“ des Ereignisses mit dem Filter „Zusätzliche Informationen“ der Regel übereinstimmt. Eine Regel ohne Filter wird ignoriert, z. B. wenn der Quellfilter oder der Filter „Zusätzliche Informationen“ fehlen. Wenn mehrere Regeln für den gleichen Ereignistyp definiert sind, verwenden Sie die Regelreihenfolge, um die Reihenfolge der Regelanwendung zu bestimmen.

    2. Regel ignorieren: Wenn das Kontrollkästchen Regel ignorieren aktiviert ist, wird keine Warnung generiert. Das Event steht jedoch weiterhin zur Überprüfung und Nachbesserung zur Verfügung.
    3. Transformationen anwenden:
      • Wenn Umwandlungen definiert wurden, wenden Sie sie an.
      • Wenn Erstellungsparameter festgelegt sind, wenden Sie den zusätzlichen Inhalt an, der dem Benutzer in der Warnung angezeigt wird.
    4. Schwellenwertakkumulation: Wenn im Abschnitt „Schwellenwert“ Aktiv ausgewählt ist, werden alle Ereignisse gesammelt, bis der Schwellenwert erreicht ist, und dann wird eine einzelne Warnung für die Ereignisse generiert.
    5. Ereignisfeldzuordnung
      • Suchen Sie nach einer Event-Feldzuordnung, auch wenn keine Event-Regel vorhanden war.
      • Wenn eine Event-Feldzuordnung gefunden wird, wenden Sie die Zuordnungsinformationen an.
      • Wenn das Event nach den Event-Umwandlungen keinen Schweregrad aufweist, behalten Sie das Event zu Referenzzwecken bei und generieren Sie keine Warnung.
    6. Warnungsgenerierung
      • Durchsuchen Sie die Warnungstabelle [em_alert] nach einem passenden Nachrichtenschlüssel.
      • Wenn ein passender Nachrichtenschlüssel vorhanden ist, aktualisieren Sie die Warnung entsprechend den Event-Informationen.
      • Wenn kein passender Nachrichtenschlüssel vorhanden ist, erstellen Sie eine Warnung.
      • Wenn ein anderes Event denselben übereinstimmenden Schlüssel aufweist, ordnen Sie die Events einer einzelnen Warnung zu.
      • Binden Sie für die Ursachenanalyse die Warnung an ein bestimmtes Configuration Item (CI) an.
    Abbildung : 1. Event-Workflow
    Event-Workflow