ネットワークトラフィックベースのアラートのグループ化
ネットワークトラフィックベースのアラートグループ化方法では、ホスト間のプロセス間のネットワークトラフィック接続を分析することで、アラートをグループ化します。ML サービスマッピングによって識別されたサービス候補を活用して、ネットワークトラフィックの問題に関連するアラートをグループ化します。これにより、同じサービス候補内の直接接続されたプロセスからのアラートがグループ化され、ネットワークインシデントのよりコンテキストに応じたビューが提供されます。
サービス候補は、ネットワーク接続とインタラクションに基づいて識別される、IT 環境内のプロセスの潜在的な集合です。これらは、システムの構成データベースに詳細が記載されていない場合でも、IT システムが提供するさまざまなサービスや機能を表します。たとえば、サービス候補は、構成の詳細が不完全な場合でも、メール配信に関連するすべてのプロセスをグループ化する場合があります。
ML サービスマッピングでは、機械学習を使用して、これらのサービス候補を自動的に検出してマッピングします。ネットワークトラフィックとインタラクションに基づいて、さまざまなプロセスとコンポーネントがどのように接続され、グループ化されているかを識別します。これは、IT サービスとそのコンポーネントを理解して整理し、問題の管理とトラブルシューティングを容易にするのに役立ちます。たとえば、ML サービスマッピングは、ネットワークインタラクションに基づいて、メールサーバーとメールクライアント間の接続を自動的に識別してマッピングする場合があります。
仕組み
- ホスト識別:ネットワークの問題に関連するアラートは、さまざまなソースから生成されます。
- ネットワークコンテキストの識別:相関プロセスでは、水平ディスカバリー結果と ML サービスマッピングを使用して、最も関連性の高いサービス候補とネットワーク接続を識別します。
このプロセスでは、スケジュール済みジョブ「 イベント管理 - サービス候補のプロセス間のマッピングの入力 - 日次」の結果を使用します。これは 1 日に 1 回実行され、アラートグループ化アルゴリズムで必要な形式でホスト CI のプロセス間接続を保存するために使用されます。
- アラートのグループ化:アラートは、同じサービス候補のコンテキスト内のプロセス間の直接接続に基づいてグループ化されます。新しいアラートを受信すると、グループ化がリアルタイムで更新されます。
メリット
- 精度の向上:この方法では、ネットワークトラフィックの接続とサービス候補を活用することで、アラートを高精度にグループ化し、誤検出を最小限に抑えます。
- 範囲の拡大:CMDB の成熟度が低い環境でもアラートを効果的にグループ化し、より広範なアラートと問題をカバーします。
- 簡素化された解決:IT チームは、関連する問題を一括で迅速に特定して解決できるため、管理すべきアラートの量が減り、運用効率が向上します。