이벤트 관리 프로세스 흐름
이벤트 관리는 이벤트를 수집 및 분석하고 경보로 변환하여 효율적인 추적 및 정정을 지원합니다.
이벤트 관리는 이벤트 및 경보 관리 규칙에 따라 외부 이벤트를 수신하고 경보를 생성합니다. 이벤트는 이메일 서버, 스크립트, SNMP 트랩 또는 웹 서비스 API를 통해 인스턴스로 직접 전송됩니다. 추적 및 정정을 위해 대시보드에 해당 경보가 표시됩니다.
컴퓨터, 소프트웨어 또는 서비스가 이벤트를 생성하면 MID 서버가 외부 이벤트 추적 도구를 폴링(polling)합니다. 이벤트 관리에 대한 연결을 유지하는 MID 서버가 저장, 처리 및 정정을 위해 인스턴스로 정보를 보냅니다.
인스턴스는 이벤트 [em_event] 테이블에 이벤트를 저장하고 미리 정의된 규칙과 이벤트 매핑을 기반으로 경보를 생성하려고 합니다. 경보가 생성되는지 여부에 관계없이 소스 이벤트를 검토하고 정정할 수 있습니다. 경보는 다음 프로세스 흐름에 따라 생성됩니다.
- 이벤트 규칙 일치: 이벤트에 대해 가장 일치하는 이벤트 규칙을 찾습니다.
이벤트의 소스가 기존 규칙에 지정된 소스와 일치하는 경우 규칙이 일치합니다. 또한 이벤트가 선택적 규칙 필터와 일치하고 이벤트 additional_info 값이 규칙 추가 정보 필터와 일치하는 경우에도 규칙이 일치합니다. 필터가 없는 규칙은 무시됩니다(예: 소스 필터 또는 추가 정보 필터가 누락된 경우). 같은 유형의 이벤트에 대해 여러 규칙이 정의된 경우 규칙 순서를 사용하여 규칙 애플리케이션의 시퀀스를 결정합니다.
- 규칙 무시: 규칙 무시 확인란을 선택하면 경보가 생성되지 않습니다. 그러나 검토 및 정정에 이벤트를 계속 사용할 수 있습니다.
- 변환 적용:
- 변형이 정의된 경우 변형을 적용합니다.
- 작성 매개변수가 설정된 경우 경보에서 사용자에게 표시할 추가 컨텐츠를 적용하십시오.
- 임계치 누적: 임계치 섹션에서 활성을 선택한 경우 임계치가 충족될 때까지 모든 이벤트를 누적한 다음, 이벤트에 대한 단일 경보를 생성합니다.
- 이벤트 필드 매핑
- 이벤트 규칙이 없는 경우에도 이벤트 필드 매핑을 검색합니다.
- 이벤트 필드 매핑이 발견되면 매핑 정보를 적용합니다.
- 이벤트 변환 후에 이벤트에 심각도가 없으면 참조 목적으로 이벤트를 보관하고 경보를 생성하지 않습니다.
- 경보 생성
- 경보 [em_alert] 테이블에서 일치하는 메시지 키를 검색합니다.
- 일치하는 메시지 키가 있으면 이벤트 정보에 따라 경보를 업데이트합니다.
- 일치하는 메시지 키가 없으면 경보를 생성합니다.
- 다른 이벤트에 동일한 일치하는 키가 있으면 이벤트를 단일 경보 아래에 연결합니다.
- 근본 원인 분석을 위해 경보를 특정 CI(구성 항목)에 바인딩합니다.