Warnungsgruppierung und Anwendungsfälle

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Warnungsgruppierungsmethoden reichen von anwenderdefinierten Ansätzen wie Manuell Und regelbasiert bis zu erweiterten, feinoptimierbaren Algorithmen, einschließlich automatisch, gemischt, textbasiert, Log Analytics und auf Netzwerkdatenverkehr basierende Gruppierung.

    Tabelle : 1. Warnungsgruppierungstypen und Anwendungsfälle
    Typ Beschreibung Anwendungsfall
    Log Analytics-Gruppierung Warnungen werden basierend auf der Analyse der Protokolldaten gruppiert. Dies umfasst die Korrelation von Protokolleinträgen, um zugehörige Warnungen und Probleme zu identifizieren. Durch die Nutzung von Protokollmustern und -Sequenzen kann diese Methode komplexe, mehrstufige Probleme in der gesamten IT-Umgebung erkennen.

    Ein Online-Gaming-Unternehmen verbessert die Serverstabilität durch die Implementierung proaktiver Protokoll-Analytics. Sie überwachen Protokolle von Spieleservern in Echtzeit und verwenden Analysetools, um Muster von Fehlern zu erkennen, die vor Abstürzen auftreten.

    Beispielsweise zeigt die Analyse, dass bestimmte Fehlermuster etwa 30 Minuten vor Serverabstürzen angezeigt werden. Durch die Einrichtung automatisierter Warnungen für diese Muster kann das Unternehmen Korrekturaktionen initiieren, z. B. das Neustarten von Services oder die Neuzuweisung von Ressourcen, bevor ein Absturz auftritt. Dieser proaktive Ansatz verhindert Unterbrechungen, minimiert Ausfallzeiten und verbessert die Gaming-Experience, indem Probleme behoben werden, bevor sie sich auf die Spieler auswirken.
    Regelbasierte Gruppierung Warnungen werden gemäß vordefinierten Regeln und Kriterien gruppiert, die von Anwendern festgelegt werden. Diese Regeln können bestimmte Bedingungen enthalten, z. B. Schwellenwerte oder Ereignistypen. Diese Methode ist effektiv für konsistente und wiederholbare Muster, erfordert jedoch die Wartung der Regeln.

    In einem Rechenzentrum, das eine E-Commerce-Website verwaltet, hilft die regelbasierte Warnungsgruppierung bei hohem Datenverkehr bei Ereignissen wie Flash-Vertrieb. Warnungen zu Serverproblemen, z. B. zu hoher CPU-Auslastung, werden als übergeordnete Warnungen festgelegt. Diese übergeordneten Warnungen sind mit untergeordneten Warnungen verknüpft, die zugehörige Probleme melden, z. B. langsame Datenbankabfragen.

    Die Regeln stellen sicher, dass serverbezogene Warnungen mit ihren Symptomen gruppiert werden, sodass das IT-Team Probleme mit Serverüberlastung schnell identifizieren und beheben kann. Dieser Ansatz verbessert die Effizienz der Problemlösung und minimiert Ausfallzeiten.
    Automatisierte Gruppierung

    Erweiterte Algorithmen identifizieren und gruppieren zugehörige Warnungen automatisch basierend auf Mustern und Ähnlichkeiten in den Warnungsdaten. Diese Methode nutzt maschinelles Lernen und KI, um sich an neue und unbekannte Probleme anzupassen und proaktives Warnungsmanagement zu bieten.

    Ereignismanagement Gruppiert Warnungen, die ähnlich, aber nicht unbedingt identisch sind, basierend auf der Nähe zum Zeitpunkt der letzten Ereignisgenerierung. Warnungen mit demselben CI und demselben Musterbezeichner werden gruppiert.

    Die automatische Warnungsgruppierung besteht aus den folgenden Komponenten.
    • Lerner Für Warnungszusammenfassung ( Service Analytics – Warnungszusammenfassung – Lerner – Täglich ): Dieser Offline-Auftrag wird täglich ausgeführt, um vergangene Warnungen zu verarbeiten und statistische Analysen durchzuführen, um Warnungsmuster zu erstellen. Details finden Sie unter Konfigurieren Sie die musterbasierte Warnungsgruppierung.
    • Auftrag zur Zusammenfassung von Warnungen in Echtzeit ( Service Analytics gruppiert Warnungen mit RCA/Warnungszusammenfassung ): Dieser Auftrag wird jede Minute ausgeführt, um Warnungszusammenfassungsgruppen basierend auf Warnungsmustern, CMDB-Beziehungen, Textähnlichkeit, anwenderdefinierten Warnungs-Clustering-Tags und Netzwerkverkehrsverbindung zwischen Prozessen zu generieren.

    Ein großes Finanzinstitut verwendet maschinelles Lernen, um Warnungen von zahlreichen Servern und Anwendungen zu verwalten. Das System analysiert historische Warnungsdaten, um Muster zu erkennen, z. B. Datenbankserverfehler, die häufig von Client-Verbindungsfehlern begleitet werden. Dann werden zugehörige Warnungen automatisch zusammen gruppiert. Wenn beispielsweise eine neue Datenbankserverfehlerwarnung erkannt wird, wird sie mit vorherigen Verbindungsfehlerwarnungen gruppiert.

    Diese automatisierte Gruppierung hilft IT- und Sicherheitsteams, Probleme schnell zu identifizieren und zu beheben, die Reaktionszeiten zu verbessern und Ausfallzeiten zu reduzieren.
    Gemischte Gruppierung Die gemischte Gruppierungsmethode kombiniert Warnungen mit mehreren Gruppierungsstrategien, z. B. CMDB-basierte Gruppierung und Tag-basierte Gruppierung, in einer einzigen, zusammenhängenden Gruppe. Sie nutzt die Stärken jeder Strategie, um Warnungsrauschen zu reduzieren, die Warnungskorrelation zu verbessern und die wahre Ursache von Incidents hervorzuheben.
    • CMDB-basierte Gruppierung: Warnungen werden basierend auf CI-Beziehungen (Configuration Item) und Abhängigkeiten aus der Configuration Management Database (CMDB) gruppiert. Dieser Ansatz stellt sicher, dass Warnungen im Zusammenhang mit bestimmten Infrastrukturkomponenten oder -Services gruppiert werden, was ein kontextbezogenes Warnungsmanagement bietet.
    • Tag-Clustergruppierung: Warnungen werden kategorisiert und mithilfe von Tags oder Bezeichnungen gruppiert, die allgemeine Attribute darstellen, z. B. Anwendung, Servertyp oder geografischer Standort. Diese Methode ermöglicht eine flexible und dynamische Gruppierung basierend auf sich entwickelnden Tagging-Strategien.

    Anwendungsfall für CMDB-basierte Gruppierung:

    Ein Telekommunikationsunternehmen verwendet CMDB-Daten, um Warnungen im Zusammenhang mit seiner Netzwerkinfrastruktur zu verwalten. Warnungen im Zusammenhang mit einem bestimmten Netzwerkrouter und seinen verbundenen Geräten werden basierend auf ihren CMDB-Beziehungen gruppiert, sodass das Netzwerkteam alle zugehörigen Probleme sehen und die Ursache effizient beheben kann.

    Anwendungsfall für Tag-Cluster-Gruppierung:

    Eine Organisation ohne CMDB verwaltet einen Linux-Server, auf dem verschiedene Services ausgeführt werden. Das IT-Team verwendet einen Knoten Feld in jeder Warnung, um den Server zu identifizieren, und sie gruppieren alle Ereignisse im Zusammenhang mit Services auf demselben Server basierend auf diesem Knotenwert. Beispielsweise gruppieren sie Warnungen wie Service A ausgefallen und Service B hohe CPU-Auslastung zusammen, wenn sie denselben Knotenwert haben.

    Dieser Ansatz hilft dem IT-Team, serverbezogene Probleme effizienter zu beheben. Durch Clustering von Warnungen für denselben Knoten, dieselbe Anwendung oder dieselbe IP-Adresse optimiert das Team seine Antwortbemühungen und löst Probleme effektiver, auch ohne CMDB.
    Netzwerkdatenverkehr-basierte Gruppierung Die netzwerkbasierte Warnungsgruppierung analysiert Netzwerkverbindungen zwischen Prozessen auf Hosts, um zugehörige Warnungen zu identifizieren. Diese Methode nutzt Servicekandidaten, die durch ML Service Mapping erkannt wurden, und stellt sicher, dass Warnungen im Zusammenhang mit Netzwerkdatenverkehrsproblemen gruppiert werden, um einen besseren Kontext und eine schnellere Lösung von Warnungen zu gewährleisten.

    Eine cloudbasierte E-Commerce-Plattform erlebt Transaktionsverlangsamungen, was zu Verzögerungen bei der Zahlungsverarbeitung führt. Herkömmliche Warnungen generieren separate Warnungen für API-Zeitüberschreitungen, Datenbankverzögerungen und Netzwerkprobleme, was die Identifizierung der Ursache erschwert.

    Bei der auf Netzwerkverkehr basierenden Gruppierung werden Warnungen automatisch basierend auf Prozess-zu-Prozess-Verbindungen gruppiert, die durch ML Service Mapping identifiziert wurden. Das System erkennt, dass Zahlungs-Gateway-Services, Betrugserkennung und Auftragsverarbeitung Teil desselben Servicekandidaten sind. Dies zeigt, dass ein überlasteter Betrugserkennungsprozess Transaktionsengpässe verursacht. Durch die Skalierung des Service löst das Team das Problem schnell, minimiert Ausfallzeiten und verbessert die Kunden-Experience.
    Textbasierte Gruppierung Warnungen werden gruppiert, indem der Textinhalt von Warnungen analysiert wird, um Ähnlichkeiten und zugehörige Probleme zu identifizieren. NLP-Techniken (Natural Language Processing) werden verwendet, um Gemeinsamkeiten in Warnungsbeschreibung, Metrikname und ci-Klasse zu finden, wodurch diese Methode für unstrukturierte Daten effektiv ist.

    In einer Organisation, die Zoom Rooms für virtuelle Besprechungen verwendet, erhält das IT-Team zahlreiche Warnungen, wenn der Zoom Room-Server einen Ausfall aufweist. Jede Warnung kann darauf hinweisen, dass ein anderer Zoom-Raum ausgefallen ist, z. B. Zoom-Raum Nr. 10 ist ausgefallen, Zoom-Raum Nr. 11 ist ausgefallen usw. der einzige Unterschied ist die Raumnummer.

    Für Organisationen mit einer CMDB können diese Warnungen mithilfe von CMDB-Beziehungen gruppiert werden, da das System die Warnungen basierend auf den Auswirkungen des Servers auf alle zugehörigen Zoom-Räume korrelieren kann. Für Organisationen ohne CMDB jedoch textbasierte Gruppierung Kann sein Verwendet. Das System wendet die Verarbeitung in natürlicher Sprache an, um Warnungen mit ähnlichen Beschreibungen zu gruppieren, sodass das IT-Team schnell erkennen kann, dass mehrere Zoom-Räume von demselben zugrunde liegenden Serverproblem betroffen sind. Dieser Ansatz ermöglicht es dem IT-Team, die Ursache des Problems effizient zu beheben, Ausfallzeiten zu reduzieren und die Reaktionszeiten zu verbessern.
    Manuelle Gruppierung Anwender wählen zugehörige Warnungen manuell aus und gruppieren sie basierend auf ihrer Kompetenz und ihrem Verständnis des Systems. Dieser Ansatz ermöglicht eine präzise Steuerung, kann jedoch zeitaufwändig sein und automatisierte Korrelationen möglicherweise verfehlen. Ein Systemadministrator erhält mehrere Warnungen über verschiedene Services, die auf einem einzelnen Server fehlschlagen. Der Administrator gruppiert diese Warnungen manuell, wobei er erkennt, dass sie alle mit einem einzelnen Hardwarefehler auf diesem Server zusammenhängen, und priorisiert die Behebung des Hardwareproblems, um alle Services wiederherzustellen.
    Die manuelle und regelbasierte Warnungsgruppierung unterscheidet sich von der algorithmusbasierten Gruppierung hauptsächlich dadurch, wie die übergeordnete Warnung ausgewählt wird. Bei der manuellen, regelbasierten oder Protokoll-Analytics-Gruppierung wird eine der echten Warnungen als übergeordnete Warnung festgelegt. In den Modi „automatisch“, „CMDB“, „textbasiert“, „Tag-Cluster“ und „Netzwerkverkehr“ eine virtuelle Warnung, die die älteste und schwerste Warnung in der Gruppe darstellt, wird als übergeordnete Warnung erstellt.
    Hinweis:
    In domänengetrennten Umgebungen werden Warnungsgruppen nur für Warnungen innerhalb derselben Domäne erstellt.

    Informationen zu geplanten Aufgaben und Parametern finden Sie unter Geplante Aufgaben und Parameter für die Warnungsgruppierung. Detaillierte Informationen zu verschiedenen Gruppierungstypen finden Sie unter Warnungsgruppierungstypen und Erstellungsmethoden.