La correlación de eventos es una técnica para dar sentido a una gran cantidad de eventos y señalar los pocos eventos que son realmente importantes en esa masa de información. Esto se logra buscando y analizando las relaciones entre eventos.
Historia
La correlación de eventos se ha utilizado en varios campos durante muchos años:
- desde la década de 1970, telecomunicaciones y control de procesos industriales ;
- desde la década de 1980, gestión de redes y gestión de sistemas ;
- desde la década de 1990, gestión de servicios de TI , sistemas de publicación y suscripción (pub / sub), procesamiento de eventos complejos (CEP) y gestión de eventos e información de seguridad (SIEM);
- desde principios de la década de 2000, sistemas distribuidos basados en eventos y monitoreo de actividad empresarial (BAM).
Ejemplos y dominios de aplicación
La gestión integrada se subdivide tradicionalmente en varios campos:
- capa por capa: gestión de redes , gestión de sistemas , gestión de servicios , etc.
- por función de gestión: gestión del rendimiento , gestión de la seguridad , etc.
La correlación de eventos tiene lugar en diferentes componentes según el campo de estudio:
- Dentro del campo de la gestión de redes , la correlación de eventos se realiza en una plataforma de gestión conocida normalmente como Network Management Station o Network Management System (NMS). Por ejemplo, los eventos pueden notificar que un dispositivo acaba de reiniciarse o que un enlace de red está inactivo.
- Dentro del campo de la gestión de sistemas , un evento puede, por ejemplo, informar que la utilización de la CPU de un servidor de comercio electrónico ha estado al 100% durante más de 15 minutos.
- Dentro del campo de la gestión de servicios , un evento puede notificar que no se cumple un objetivo de nivel de servicio para un cliente determinado, por ejemplo.
- Dentro del campo de la gestión de la seguridad , la plataforma de gestión se conoce habitualmente como Gestión de eventos e información de seguridad (SIEM), y la correlación de eventos a menudo se realiza en un motor de correlación independiente. Ese motor puede recibir eventos directamente en tiempo real o puede leerlos desde el almacenamiento SIEM. En este caso, los ejemplos de eventos monitoreados incluyen actividades como autenticación, acceso a servicios y datos, y salida de herramientas de seguridad puntuales como un Sistema de Detección de Intrusiones (IDS) o software antivirus .
En este artículo, nos centramos en la correlación de eventos en la gestión integrada y proporcionamos enlaces a otros campos.
Correlación de eventos en la gestión integrada
El objetivo de la gestión integrada es integrar la gestión de redes (datos, teléfono y multimedia), sistemas (servidores, bases de datos y aplicaciones) y servicios de TI de forma coherente. El alcance de esta disciplina incluye en particular la gestión de redes , la gestión de sistemas y la gestión del nivel de servicio .
Eventos y correlacionador de eventos
La correlación de eventos suele tener lugar dentro de una o varias plataformas de gestión. Se implementa mediante un software conocido como correlacionador de eventos . Este componente se alimenta automáticamente con eventos que se originan en elementos administrados (aplicaciones, dispositivos), herramientas de monitoreo, el sistema de tickets de problemas , etc. Cada evento captura algo especial (desde el punto de vista de la fuente del evento) que sucedió en el dominio de interés para el correlacionador de eventos. , que variará dependiendo del tipo de análisis que el correlador esté intentando realizar.
El correlacionador de eventos juega un papel clave en la gestión integrada, ya que solo dentro de él los eventos de muchas fuentes dispares se unen y permiten la comparación entre fuentes. Por ejemplo, aquí es donde la falla de un servicio puede atribuirse a una falla específica en la infraestructura de TI subyacente , o donde se puede identificar la causa raíz de un posible ataque de seguridad.
La mayoría de los correlacionadores de eventos pueden recibir eventos de sistemas de tickets de problemas . Sin embargo, solo algunos de ellos pueden notificar a los sistemas de tickets de problemas cuando se resuelve un problema, lo que explica en parte la dificultad para que los Service Desk se mantengan actualizados con las últimas noticias. En teoría, la integración de la gestión en las organizaciones requiere que la comunicación entre el correlacionador de eventos y el sistema de tickets de problemas funcione en ambos sentidos.
Un evento puede transmitir una alarma o informar un incidente (lo que explica por qué la correlación de eventos solía llamarse correlación de alarma ), pero no necesariamente. También puede informar que una situación vuelve a la normalidad, o simplemente enviar alguna información que considere relevante (por ejemplo, la política P se ha actualizado en el dispositivo D). La gravedad del evento es una indicación dada por el origen del evento al destino del evento de la prioridad que se le debe dar a este evento mientras se procesa.
Descomposición paso a paso
La correlación de eventos se puede descomponer en cuatro pasos: filtrado de eventos, agregación de eventos, enmascaramiento de eventos y análisis de la causa raíz. Un quinto paso (activación de la acción) a menudo se asocia con la correlación de eventos y, por lo tanto, se menciona brevemente aquí.
Filtrado de eventos
El filtrado de eventos consiste en descartar eventos que el correlacionador de eventos considera irrelevantes. Por ejemplo, varios dispositivos de gama baja son difíciles de configurar y ocasionalmente envían eventos sin interés a la plataforma de gestión (por ejemplo, la impresora P necesita papel A4 en la bandeja 1). Otro ejemplo es el filtrado de eventos informativos o de depuración por un correlacionador de eventos que solo está interesado en la disponibilidad y las fallas.
Agregación de eventos
La agregación de eventos es una técnica en la que varios eventos que son muy similares (pero no necesariamente idénticos) se combinan en un agregado que representa los datos de eventos subyacentes. Su principal objetivo es resumir una colección de eventos de entrada en una colección más pequeña que se puede procesar utilizando varios métodos de análisis . Por ejemplo, el agregado puede proporcionar resúmenes estadísticos de los eventos subyacentes y los recursos que se ven afectados por esos eventos. Otro ejemplo es la agregación temporal, cuando el mismo problema es reportado una y otra vez por la fuente del evento, hasta que finalmente se resuelve el problema.
La deduplicación de eventos es un tipo especial de agregación de eventos que consiste en fusionar duplicados exactos del mismo evento. Dichos duplicados pueden deberse a la inestabilidad de la red (p. Ej., El origen del evento envía el mismo evento dos veces porque la primera instancia no se reconoció con la suficiente rapidez, pero ambas instancias finalmente llegan al destino del evento).
Enmascaramiento de eventos
El enmascaramiento de eventos (también conocido como enmascaramiento topológico en la gestión de redes ) consiste en ignorar los eventos que pertenecen a los sistemas que se encuentran aguas abajo de un sistema fallido. Por ejemplo, los servidores que están aguas abajo de un enrutador fallado fallarán en el sondeo de disponibilidad.
Análisis de raíz de la causa
El análisis de la causa raíz es el último y más complejo paso de la correlación de eventos. Consiste en analizar las dependencias entre eventos, basándose por ejemplo en un modelo del entorno y gráficas de dependencia, para detectar si unos eventos pueden ser explicados por otros. Por ejemplo, si la base de datos D se ejecuta en el servidor S y este servidor se sobrecarga de forma duradera (la CPU se usó al 100% durante mucho tiempo), el evento "el SLA para la base de datos D ya no se cumple" puede explicarse por el evento "Server S está sobrecargado de forma duradera ”.
Acción desencadenante
En esta etapa, el correlacionador de eventos se queda con como máximo un puñado de eventos sobre los que se debe actuar. Estrictamente hablando, la correlación de eventos termina aquí. Sin embargo, debido al abuso del lenguaje, los correlacionadores de eventos que se encuentran en el mercado (por ejemplo, en la administración de redes ) a veces también incluyen capacidades de resolución de problemas. Por ejemplo, pueden desencadenar acciones correctivas o más investigaciones de forma automática.
Correlación de eventos en otros campos
Correlación de eventos en ITIL
El alcance de ITIL es mayor que el de la gestión integrada. Sin embargo, la correlación de eventos en ITIL es bastante similar a la correlación de eventos en la gestión integrada.
En el marco de la versión 2 de ITIL, la correlación de eventos abarca tres procesos: gestión de incidentes, gestión de problemas y gestión del nivel de servicio.
En el marco de la versión 3 de ITIL, la correlación de eventos tiene lugar en el proceso de gestión de eventos. El correlacionador de eventos se denomina motor de correlación .
Correlación de eventos en sistemas de publicación-suscripción
Correlación de eventos en el procesamiento de eventos complejos
Correlación de eventos en el seguimiento de la actividad empresarial
Correlación de eventos en el control de procesos industriales
Ver también
- Seguimiento de la actividad empresarial
- Razonamiento causal
- Procesamiento de eventos complejos
- Reglas ECA
- Procesamiento de flujo de eventos
- Arquitectura impulsada por eventos
- Programación impulsada por eventos
- SOA impulsada por eventos
- Administracion de incidentes
- Sistema de seguimiento de problemas
- Gestión de servicios de TI
- Administración de redes
- Manejo de problemas
- Análisis de raíz de la causa
- Control de supervisión y adquisición de datos (SCADA)
- Gestión de sistemas
Referencias
- M. Hasan, B. Sugla y R. Viswanathan, "Marco conceptual para sistemas de filtrado y correlación de eventos de gestión de red", en Proc. 6º Simposio Internacional IFIP / IEEE sobre Gestión Integrada de Redes (IM 1999) , Boston, MA, EE.UU., mayo de 1999, págs. 233–246.
- HG Hegering, S. Abeck y B. Neumair, Gestión integrada de sistemas en red , Morgan Kaufmann, 1998.
- G. Jakobson y M. Weissman, "Correlación de alarmas", Red IEEE , vol. 7, núm. 6, págs. 52 a 59, noviembre de 1993.
- S. Kliger, S. Yemini, Y. Yemini, D. Ohsie y S. Stolfo, "Un enfoque de codificación para la correlación de eventos", en Proc. 4º Simposio Internacional IEEE / IFIP sobre Gestión Integrada de Redes (ISINM 1995) , Santa Bárbara, CA, EE.UU., mayo de 1995, págs. 266–277.
- JP Martin-Flatin, G. Jakobson y L. Lewis, "Correlación de eventos en la gestión integrada: lecciones aprendidas y perspectivas", Journal of Network and Systems Management , Vol. 17, No. 4, diciembre de 2007.
- M. Sloman (Ed.), "Gestión de redes y sistemas distribuidos", Addison-Wesley, 1994.
enlaces externos
- Página de tecnologías de correlación de eventos de Softpanorama