ネットワークトラフィックベースのアラートのグループ化
ネットワークトラフィックベースのアラートのグループ化方法では、複数のホストにわたりプロセス間のネットワークトラフィック接続を分析することで、アラートをグループ化します。ML サービスマッピングによって特定されたサービス候補を活用して、ネットワークトラフィックの問題に関連するアラートをグループ化します。これにより、同じサービス候補内の直接接続したプロセスからのアラートがグループ化され、ネットワークインシデントがさらにコンテキストに応じて表示されます。
サービス候補は、IT 環境内における潜在的なプロセスの集合であり、ネットワーク接続とインタラクションに基づいて特定されます。IT システムが提供するさまざまなサービスや機能がシステムの構成データベースに詳しく記述されていない場合でも、サービス候補はそれらを表します。たとえば、サービス候補は、構成の詳細が不完全な場合でも、メール配信に関連するすべてのプロセスをグループ化できます。
ML サービスマッピングでは、機械学習を使用して、こうしたサービス候補を自動的に検出してマッピングします。さまざまなプロセスとコンポーネントがどのように接続され、グループ化されているかを、ネットワークトラフィックとインタラクションに基づいて特定します。これは、IT サービスとそのコンポーネントを理解して整理するのに役立つため、問題の管理やトラブルシューティングが容易になります。たとえば、ML サービスマッピングでは、ネットワークのインタラクションに基づいて、メールサーバーとメールクライアント間の接続を自動的に特定してマッピングできます。
仕組み
- ホストの特定:ネットワークの問題に関連するアラートは、さまざまなソースから生成されます。
- ネットワークコンテキストの特定:相関プロセスでは、水平ディスカバリーの結果と ML サービスマッピングを使用して、最も関連性の高いサービス候補とネットワーク接続を特定します。
このプロセスでは、スケジュール済みジョブ [イベント管理 - サービス候補のプロセス間のマッピングを入力 - 日次 (Event Management - Populate Service candidate process to process mapping - Daily)] の結果を使用します。このジョブは、1 日に 1 回実行され、アラートグループ化アルゴリズムに必要な形式でホスト CI のプロセス間接続を保存するために使用されます。
- アラートのグループ化:アラートは、同じサービス候補のコンテキスト内でプロセス間の直接接続に基づいてグループ化されます。新しいアラートを受信すると、グループ化がリアルタイムで更新されます。
メリット
- 精度の向上:この方法は、ネットワークトラフィック接続とサービス候補を活用することで、アラートを高精度にグループ化し、誤検出を最小限に抑えます。
- 範囲の拡大:CMDB の成熟度が低い環境でもアラートを効果的にグループ化し、より広範なアラートや問題をカバーします。
- 解決の簡素化:IT チームは、関連する問題を迅速に特定して一括で解決できるため、管理するアラートの量が減り、業務の効率が向上します。