Корреляция событий

Эта статья включает список литературы , связанную литературу или внешние ссылки , но ее источники остаются неясными, поскольку в ней отсутствуют встроенные цитаты . Пожалуйста, помогите улучшить эту статью, введя более точные цитаты. ( сентябрь 2017 г. ) ( Узнайте, как и когда удалить это сообщение )

Корреляция событий — это метод, позволяющий осмыслить большое количество событий и выявить те немногие события, которые действительно важны в этой массе информации. Это достигается путем поиска и анализа связей между событиями.

Корреляция событий уже много лет используется в различных областях:

• с 1970-х годов — телекоммуникации и управление производственными процессами ;
• с 1980-х годов управление сетями и системами ;
• с 1990-х годов — управление ИТ-услугами , системы публикации-подписки (pub/sub), комплексная обработка событий (CEP) и управление информацией о безопасности и событиями (SIEM);
• с начала 2000-х годов — Распределенные событийно-ориентированные системы и мониторинг деловой активности (BAM).

Интегрированный менеджмент традиционно подразделяется на различные области:

• слой за слоем: управление сетью , управление системой , управление услугами и т. д.
• по функции управления: управление производительностью , управление безопасностью и т. д.

Корреляция событий происходит в разных компонентах в зависимости от области исследования:

• В области управления сетью корреляция событий выполняется на платформе управления, обычно известной как станция управления сетью или система управления сетью (NMS). Например, события могут уведомлять о том, что устройство только что перезагрузилось или что сетевое соединение в настоящее время не работает.
• В области системного управления событие может, например, сообщать о том, что загрузка ЦП сервера электронного бизнеса была на 100% в течение более 15 минут.
• В области управления услугами событие может уведомлять о том, что цель уровня обслуживания для данного клиента не достигнута. , например,
• В области управления безопасностью платформа управления обычно известна как Управление информацией и событиями безопасности (SIEM), а корреляция событий часто выполняется в отдельном механизме корреляции. Этот механизм может напрямую получать события в режиме реального времени или считывать их из хранилища SIEM. В этом случае примеры отслеживаемых событий включают такие действия, как аутентификация, доступ к службам и данным, а также выходные данные точечных инструментов безопасности, таких как система обнаружения вторжений (IDS) или антивирусное программное обеспечение .

В этой статье мы сосредоточимся на корреляции событий в интегрированном управлении и предоставим ссылки на другие области.

Целью интегрированного управления является согласованная интеграция управления сетями (данными, телефонами и мультимедиа), системами (серверами, базами данных и приложениями) и ИТ-услугами. В сферу применения этой дисциплины, в частности, входит управление сетью , управление системами и управление уровнем обслуживания .

Корреляция событий обычно происходит внутри одной или нескольких платформ управления. Это реализуется с помощью программного обеспечения, известного как коррелятор событий . Этот компонент автоматически получает события, происходящие от управляемых элементов (приложений, устройств), инструментов мониторинга, системы заявок на неисправности и т. д. Каждое событие фиксирует что-то особенное (с точки зрения источника событий), которое произошло в области, интересующей коррелятор событий. , которое будет меняться в зависимости от типа анализа, который пытается выполнить коррелятор.

Коррелятор событий играет ключевую роль в интегрированном управлении, поскольку только внутри него события из множества разрозненных источников объединяются и позволяют сравнивать разные источники. Например, здесь отказ службы может быть приписан конкретному сбою в базовой ИТ-инфраструктуре или когда можно определить основную причину потенциальной атаки на систему безопасности.

Большинство корреляторов событий могут получать события из систем заявок на неисправности . Однако только некоторые из них могут уведомить системы заявок о проблемах, когда проблема решена, что частично объясняет трудности, с которыми службам поддержки сложно быть в курсе последних новостей. Теоретически интеграция управления в организациях требует, чтобы связь между коррелятором событий и системой заявок на неисправности работала в обоих направлениях.

Событие может передавать сигнал тревоги или сообщать об инциденте (это объясняет, почему корреляция событий раньше называлась корреляцией сигналов тревоги ), но это не обязательно. Он также может сообщить, что ситуация возвращается в норму, или просто отправить некоторую информацию, которую он считает актуальной (например, политика P была обновлена ​​на устройстве D). Серьезность . события — это указание источника события назначению события о приоритете, который этому событию следует придавать во время обработки

Корреляцию событий можно разбить на четыре этапа: фильтрация событий, агрегирование событий, маскирование событий и анализ первопричин. Пятый шаг (запуск действия) часто связан с корреляцией событий и поэтому кратко упоминается здесь.

Фильтрация событий заключается в отбрасывании событий, которые коррелятор событий считает несущественными. Например, ряд устройств нижнего уровня сложно настроить, и они иногда отправляют события, не представляющие интереса, на платформу управления (например, принтеру P требуется бумага формата A4 в лотке 1). Другим примером является фильтрация информационных или отладочных событий с помощью коррелятора событий, который интересуется только доступностью и неисправностями.

Агрегация событий — это метод, при котором несколько очень похожих (но не обязательно идентичных) событий объединяются в совокупность, представляющую базовые данные о событии. Его основная цель — объединить коллекцию входных событий в меньшую коллекцию, которую можно обрабатывать с использованием различных методов аналитики . Например, агрегат может предоставлять статистические сводки основных событий и ресурсов, на которые эти события влияют. Другим примером является временное агрегирование, когда источник событий снова и снова сообщает об одной и той же проблеме, пока проблема не будет окончательно решена.

Дедупликация событий — это особый тип агрегации событий, заключающийся в объединении точных дубликатов одного и того же события. Такие дубликаты могут быть вызваны нестабильностью сети (например, одно и то же событие отправляется дважды источником события, поскольку первый экземпляр не был подтвержден достаточно быстро, но оба экземпляра в конечном итоге достигают места назначения события).

Маскирование событий (также известное как топологическое маскирование в управлении сетью ) заключается в игнорировании событий, относящихся к системам, расположенным ниже по потоку от вышедшей из строя системы. Например, серверы, расположенные ниже по потоку от вышедшего из строя маршрутизатора, не смогут выполнить опрос доступности.

Анализ первопричин — последний и наиболее сложный этап корреляции событий. Он состоит из анализа зависимостей между событиями, например, на основе модели среды и графов зависимостей, чтобы определить, можно ли объяснить одни события другими. Например, если база данных D работает на сервере S и этот сервер постоянно перегружен (процессор используется на 100% в течение длительного времени), событие «SLA для базы данных D больше не выполняется» можно объяснить событием «Сервер S постоянно перегружен».

На этом этапе у коррелятора событий остается не более нескольких событий, над которыми необходимо действовать. Строго говоря, корреляция событий на этом заканчивается. Однако из-за языковых злоупотреблений корреляторы событий, представленные на рынке (например, в управлении сетями ), иногда также включают в себя возможности решения проблем. Например, они могут автоматически инициировать корректирующие действия или дальнейшие расследования.

Область применения ITIL шире, чем сфера применения интегрированного управления. Однако корреляция событий в ITIL очень похожа на корреляцию событий в интегрированном управлении.

В рамках ITIL версии 2 корреляция событий охватывает три процесса: управление инцидентами, управление проблемами и управление уровнем обслуживания.

В среде ITIL версии 3 корреляция событий происходит в процессе управления событиями. Коррелятор событий называется механизмом корреляции .

• Мониторинг деловой активности
• Причинно-следственные рассуждения
• Сложная обработка событий
• правила ЕКА
• Обработка потока событий
• Событийно-ориентированная архитектура
• Программирование, управляемое событиями
• SOA, управляемая событиями
• Управление инцидентами
• Система отслеживания проблем
• Управление ИТ-услугами
• Управление сетью
• Управление проблемами
• Анализ первопричин
• Диспетчерское управление и сбор данных (SCADA)
• Системное управление

• М. Хасан, Б. Сугла и Р. Вишванатан, «Концептуальная основа систем корреляции и фильтрации событий сетевого управления», в Proc. 6-й Международный симпозиум IFIP / IEEE по интегрированному управлению сетями (IM 1999) , Бостон, Массачусетс, США, май 1999 г., стр. 233–246.
• Х.Г. Хегеринг, С. Абек и Б. Ноймер, Интегрированное управление сетевыми системами , Морган Кауфманн, 1998.
• Г. Якобсон и М. Вайсман, «Корреляция сигналов тревоги», IEEE Network , Vol. 7, № 6, стр. 52–59, ноябрь 1993 г.
• С. Клигер, С. Йемини, Й. Йемини, Д. Оси и С. Столфо, «Подход к кодированию корреляции событий», в Proc. 4-й Международный симпозиум IEEE/IFIP по интегрированному управлению сетями (ISINM 1995) , Санта-Барбара, Калифорния, США, май 1995 г., стр. 266–277.
• Дж. П. Мартин-Флатин, Г. Якобсон и Л. Льюис, «Корреляция событий в интегрированном управлении: извлеченные уроки и перспективы», Журнал сетевого и системного управления , том 17, № 4, декабрь 2007 г.
• М. Сломан (ред.), «Управление сетями и распределенными системами», Аддисон-Уэсли, 1994.

• Страница технологий корреляции событий Softpanorama