Prozess-Flow in Ereignismanagement

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Ereignismanagement Erfasst, analysiert und konvertiert Ereignisse in Warnungen, um eine effiziente Nachverfolgung und Korrektur zu ermöglichen.

    Ereignismanagement empfängt externe Events und generiert Warnungen basierend auf den Event- und Warnungsverwaltungsregeln. Ereignisse werden direkt über E-Mail-Server, Skript, SNMP-Trap oder Webservice-API an Ihre Instanz gesendet. Die entsprechenden Warnungen werden zu Nachverfolgungs- und Nachbesserungszwecken in Dashboards angezeigt.

    Während der Computer, die Software oder der Service Events generiert, ruft der MID-Server das externe Event-Nachverfolgungstool ab. Die MID-Server, Aufrechterhaltung einer Verbindung mit Ereignismanagement, Sendet die Informationen zur Speicherung, Verarbeitung und Korrektur an Ihre Instanz.

    Die Instanz speichert Ereignisse in der Tabelle „Ereignis“ [em_event] und versucht, Warnungen basierend auf vordefinierten Regeln und Ereigniszuordnungen zu generieren. Unabhängig davon, ob eine Warnung generiert wird, steht das ursprüngliche Ereignis zur Überprüfung und Korrektur zur Verfügung. Warnungen werden gemäß dem folgenden Prozess-Flow generiert.

    1. Ereignisregel abgleichen: Finden Sie die Ereignisregel mit der besten Übereinstimmung für ein Ereignis.

      Eine Regel wird abgeglichen, wenn die Quelle des Ereignisses mit der in einer vorhandenen Regel angegebenen Quelle übereinstimmt. Darüber hinaus wird eine Regel abgeglichen, wenn das Ereignis mit dem optionalen Regelfilter übereinstimmt und der Wert des Ereignisses „additional_info“ mit dem Filter „zusätzliche Informationen“ der Regel übereinstimmt. Eine Regel ohne Filter wird ignoriert, z. B. wenn der Quellfilter oder der Filter „zusätzliche Informationen“ fehlt. Wenn mehrere Regeln für denselben Ereignistyp definiert sind, verwenden Sie die Regelreihenfolge, um die Reihenfolge der Regelanwendung zu bestimmen.

    2. Regel ignorieren: Wenn die Regel Ignorieren Kontrollkästchen ist aktiviert, es wird keine Warnung generiert. Das Event steht jedoch weiterhin zur Überprüfung und Nachbesserung zur Verfügung.
    3. Transformationen Anwenden:
      • Wenn Umwandlungen definiert wurden, wenden Sie sie an.
      • Wenn Erstellungsparameter festgelegt sind, wenden Sie den zusätzlichen Inhalt an, der dem Benutzer in der Warnung angezeigt wird.
    4. Schwellenwertakkumulation: Wenn im Abschnitt „Schwellenwert“ aktiv ausgewählt ist, akkumulieren Sie alle Ereignisse, bis der Schwellenwert erreicht ist, und generieren Sie dann eine einzelne Warnung für die Ereignisse.
    5. Ereignisfeldzuordnung
      • Suchen Sie nach einer Event-Feldzuordnung, auch wenn keine Event-Regel vorhanden war.
      • Wenn eine Event-Feldzuordnung gefunden wird, wenden Sie die Zuordnungsinformationen an.
      • Wenn das Event nach den Event-Umwandlungen keinen Schweregrad aufweist, behalten Sie das Event zu Referenzzwecken bei und generieren Sie keine Warnung.
    6. Warnungsgenerierung
      • Durchsuchen Sie die Warnungstabelle [em_alert] nach einem passenden Nachrichtenschlüssel.
      • Wenn ein passender Nachrichtenschlüssel vorhanden ist, aktualisieren Sie die Warnung entsprechend den Event-Informationen.
      • Wenn kein passender Nachrichtenschlüssel vorhanden ist, erstellen Sie eine Warnung.
      • Wenn ein anderes Event denselben übereinstimmenden Schlüssel aufweist, ordnen Sie die Events einer einzelnen Warnung zu.
      • Binden Sie die Warnung zur Ursachenanalyse an ein bestimmtes Konfigurationselement (Configuration Item, CI).
    Abbildung : 1. Event-Workflow
    Event-Workflow