ความสัมพันธ์ของเหตุการณ์

This article includes a list of references, related reading, or external links, but its sources remain unclear because it lacks inline citations. Please help improve this article by introducing more precise citations. (September 2017) (Learn how and when to remove this message)

การเชื่อมโยงเหตุการณ์เป็นเทคนิคในการทำความเข้าใจเหตุการณ์จำนวนมากและระบุเหตุการณ์เพียงไม่กี่เหตุการณ์ที่มีความสำคัญจริงๆ ในข้อมูลจำนวนมากนั้น ซึ่งทำได้โดยการค้นหาและวิเคราะห์ความสัมพันธ์ระหว่างเหตุการณ์

ความสัมพันธ์ของเหตุการณ์ถูกนำมาใช้ในหลากหลายสาขาเป็นเวลาหลายปีแล้ว:

• ตั้งแต่ทศวรรษ 1970 การสื่อสารโทรคมนาคมและการควบคุมกระบวนการอุตสาหกรรม
• ตั้งแต่ทศวรรษ 1980 การบริหารจัดการเครือข่ายและการจัดการระบบ ;
• ตั้งแต่ทศวรรษ 1990 การจัดการบริการไอที ระบบ เผยแพร่-สมัครรับข้อมูล (pub/sub) การประมวลผลเหตุการณ์ที่ซับซ้อน (CEP) และการจัดการข้อมูลด้านความปลอดภัยและเหตุการณ์ (SIEM)
• ตั้งแต่ต้นทศวรรษปี 2000 ระบบตามเหตุการณ์แบบกระจายและการตรวจสอบกิจกรรมทางธุรกิจ (BAM)

การจัดการแบบบูรณาการโดยทั่วไปจะแบ่งย่อยออกเป็นหลายสาขา:

• ชั้นต่อชั้น: การจัดการเครือข่าย , การจัดการระบบ , การจัดการบริการฯลฯ
• โดยฟังก์ชั่นการจัดการ: การจัดการประสิทธิภาพการทำงาน , การจัดการความปลอดภัยฯลฯ

ความสัมพันธ์ของเหตุการณ์เกิดขึ้นในส่วนประกอบที่แตกต่างกันขึ้นอยู่กับสาขาการศึกษา:

• ในสาขาการจัดการเครือข่ายการเชื่อมโยงเหตุการณ์จะดำเนินการในแพลตฟอร์มการจัดการที่เรียกกันโดยทั่วไปว่าสถานีการจัดการเครือข่ายหรือระบบจัดการเครือข่าย (NMS) ตัวอย่างเช่น เหตุการณ์อาจแจ้งว่าอุปกรณ์เพิ่งรีบูตหรือลิงก์เครือข่ายใช้งานไม่ได้
• ในด้านการจัดการระบบอาจมีเหตุการณ์หนึ่งรายงานว่าการใช้งาน CPU ของเซิร์ฟเวอร์อีคอมเมิร์ซอยู่ที่ 100% นานกว่า 15 นาที
• ภายในฟิลด์ของการจัดการด้านบริการเหตุการณ์อาจแจ้งว่า ไม่บรรลุ เป้าหมายระดับบริการสำหรับลูกค้าที่กำหนด เช่น
• ในสาขาการจัดการความปลอดภัยแพลตฟอร์มการจัดการมักเรียกว่าSecurity Information and Event Management (SIEM) และการเชื่อมโยงเหตุการณ์มักดำเนินการในกลไกการเชื่อมโยงแยกต่างหาก กลไกดังกล่าวอาจรับเหตุการณ์โดยตรงแบบเรียลไทม์ หรืออาจอ่านเหตุการณ์จากหน่วยเก็บข้อมูล SIEM ในกรณีนี้ ตัวอย่างของเหตุการณ์ที่ได้รับการตรวจสอบ ได้แก่ กิจกรรม เช่น การรับรองความถูกต้อง การเข้าถึงบริการและข้อมูล และเอาต์พุตจากเครื่องมือรักษาความปลอดภัยเฉพาะจุด เช่นระบบตรวจจับการบุกรุก (IDS) หรือซอฟต์แวร์ป้องกันไวรัส

ในบทความนี้ เราจะมุ่งเน้นไปที่ความสัมพันธ์ของเหตุการณ์ในการจัดการแบบบูรณาการและให้ความเชื่อมโยงไปยังสาขาอื่นๆ

เป้าหมายของการจัดการแบบบูรณาการคือการบูรณาการการจัดการเครือข่าย (ข้อมูล โทรศัพท์ และมัลติมีเดีย) ระบบ (เซิร์ฟเวอร์ ฐานข้อมูล และแอปพลิเคชัน) และบริการไอทีในลักษณะที่สอดคล้องกัน ขอบเขตของสาขาวิชานี้ครอบคลุมถึงการจัดการเครือข่ายการจัดการระบบและการจัดการระดับบริการ โดย เฉพาะ

การเชื่อมโยงเหตุการณ์มักเกิดขึ้นภายในแพลตฟอร์มการจัดการหนึ่งหรือหลายแพลตฟอร์ม โดยซอฟต์แวร์ที่เรียกว่าตัวเชื่อมโยงเหตุการณ์ จะนำไปใช้งาน ส่วนประกอบนี้จะถูกป้อนเหตุการณ์ที่มาจากองค์ประกอบที่จัดการ (แอปพลิเคชัน อุปกรณ์) เครื่องมือตรวจสอบระบบตั๋วปัญหาเป็นต้น โดยอัตโนมัติ เหตุการณ์แต่ละเหตุการณ์จะจับสิ่งพิเศษบางอย่าง (จากมุมมองของแหล่งที่มาของเหตุการณ์) ที่เกิดขึ้นในโดเมนที่ตัวเชื่อมโยงเหตุการณ์สนใจ ซึ่งจะแตกต่างกันไปขึ้นอยู่กับประเภทของการวิเคราะห์ที่ตัวเชื่อมโยงกำลังพยายามดำเนินการ

ตัวเชื่อมโยงเหตุการณ์มีบทบาทสำคัญในการจัดการแบบบูรณาการ เนื่องจากเหตุการณ์จากแหล่งต่าง ๆ มากมายมารวมกันภายในตัวเชื่อมโยงเหตุการณ์เท่านั้น และทำให้สามารถเปรียบเทียบระหว่างแหล่งต่าง ๆ ได้ ตัวอย่างเช่น ในกรณีนี้ ความล้มเหลวของบริการอาจเกิดจากความล้มเหลวเฉพาะในโครงสร้างพื้นฐานด้านไอที พื้นฐาน หรือเป็นสาเหตุหลักของการโจมตีด้านความปลอดภัยที่อาจเกิดขึ้นได้

ตัวเชื่อมโยงเหตุการณ์ส่วนใหญ่สามารถรับเหตุการณ์จากระบบตั๋วแจ้งปัญหาได้ อย่างไรก็ตาม มีเพียงบางส่วนเท่านั้นที่สามารถแจ้งระบบตั๋วแจ้งปัญหาได้เมื่อปัญหาได้รับการแก้ไข ซึ่งอธิบายได้บางส่วนว่าทำไมService Deskถึงประสบปัญหาในการอัปเดตข่าวสารล่าสุด ในทางทฤษฎี การบูรณาการการจัดการในองค์กรต้องอาศัยการสื่อสารระหว่างตัวเชื่อมโยงเหตุการณ์และระบบตั๋วแจ้งปัญหาเพื่อให้ทำงานทั้งสองทาง

เหตุการณ์อาจส่งสัญญาณเตือนหรือรายงานเหตุการณ์ (ซึ่งอธิบายว่าทำไมความสัมพันธ์ของเหตุการณ์จึงเคยถูกเรียกว่าความสัมพันธ์ของสัญญาณเตือน ) แต่ไม่จำเป็นเสมอไป อาจรายงานด้วยว่าสถานการณ์กลับสู่ภาวะปกติ หรือเพียงส่งข้อมูลบางอย่างที่ถือว่าเกี่ยวข้อง (เช่น นโยบาย P ได้รับการอัปเดตบนอุปกรณ์ D) ความรุนแรงของเหตุการณ์เป็นข้อบ่งชี้ที่แหล่งที่มาของเหตุการณ์แจ้งไปยังปลายทางของเหตุการณ์ว่าควรให้ความสำคัญกับเหตุการณ์นี้อย่างไรในระหว่างการประมวลผล

ความสัมพันธ์ของเหตุการณ์สามารถแยกย่อยออกเป็นสี่ขั้นตอน ได้แก่ การกรองเหตุการณ์ การรวมเหตุการณ์ การปกปิดเหตุการณ์ และการวิเคราะห์สาเหตุหลัก ขั้นตอนที่ห้า (การกระตุ้นการดำเนินการ) มักเกี่ยวข้องกับความสัมพันธ์ของเหตุการณ์ ดังนั้นจึงได้กล่าวถึงโดยย่อที่นี่

การกรองเหตุการณ์ประกอบด้วยการทิ้งเหตุการณ์ที่ถือว่าไม่เกี่ยวข้องโดยตัวเชื่อมโยงเหตุการณ์ ตัวอย่างเช่น อุปกรณ์ระดับล่างจำนวนหนึ่งนั้นกำหนดค่าได้ยากและบางครั้งจะส่งเหตุการณ์ที่ไม่น่าสนใจไปยังแพลตฟอร์มการจัดการ (เช่น เครื่องพิมพ์ P ต้องใช้กระดาษ A4 ในถาด 1) ตัวอย่างอื่นคือการกรองเหตุการณ์ข้อมูลหรือการดีบักโดยตัวเชื่อมโยงเหตุการณ์ที่สนใจเฉพาะความพร้อมใช้งานและข้อบกพร่องเท่านั้น

การรวมเหตุการณ์เป็นเทคนิคที่รวมเหตุการณ์หลายเหตุการณ์ที่คล้ายกันมาก (แต่ไม่จำเป็นต้องเหมือนกัน) เข้าเป็นข้อมูลรวมที่แสดงข้อมูลเหตุการณ์พื้นฐาน วัตถุประสงค์หลักของเทคนิคนี้คือการสรุปข้อมูลอินพุตของชุดข้อมูลลงในชุดข้อมูลที่เล็กลง ซึ่งสามารถประมวลผลได้โดยใช้การวิเคราะห์ หลาย วิธี ตัวอย่างเช่น ข้อมูลรวมอาจให้ข้อมูลสรุปทางสถิติของเหตุการณ์พื้นฐานและทรัพยากรที่ได้รับผลกระทบจากเหตุการณ์เหล่านั้น ตัวอย่างอื่นคือการรวมข้อมูลตามเวลา เมื่อแหล่งเหตุการณ์รายงานปัญหาเดียวกันซ้ำแล้วซ้ำเล่า จนกระทั่งปัญหาได้รับการแก้ไขในที่สุด

การลบข้อมูลซ้ำซ้อนของเหตุการณ์เป็นประเภทพิเศษของการรวมเหตุการณ์ที่ประกอบด้วยการรวมข้อมูลซ้ำซ้อนของเหตุการณ์เดียวกัน ข้อมูลซ้ำซ้อนดังกล่าวอาจเกิดจากความไม่เสถียรของเครือข่าย (เช่น เหตุการณ์เดียวกันถูกส่งสองครั้งโดยแหล่งเหตุการณ์เนื่องจากอินสแตนซ์แรกไม่ได้รับการยอมรับอย่างรวดเร็วเพียงพอ แต่ในที่สุดทั้งสองอินสแตนซ์ก็ไปถึงปลายทางของเหตุการณ์)

การปิดบังเหตุการณ์ (เรียกอีกอย่างว่าการปิดบังโทโพโลยีในระบบการจัดการเครือข่าย ) ประกอบด้วยการละเว้นเหตุการณ์ที่เกี่ยวข้องกับระบบที่อยู่ปลายน้ำของระบบที่ล้มเหลว ตัวอย่างเช่น เซิร์ฟเวอร์ที่อยู่ปลายน้ำของเราเตอร์ที่ล้มเหลวจะไม่สามารถทำการสำรวจความพร้อมใช้งานได้

การวิเคราะห์สาเหตุหลักเป็นขั้นตอนสุดท้ายและซับซ้อนที่สุดของการเชื่อมโยงเหตุการณ์ ซึ่งประกอบด้วยการวิเคราะห์ความสัมพันธ์ระหว่างเหตุการณ์ เช่น อิงตามแบบจำลองของสภาพแวดล้อมและกราฟความสัมพันธ์ เพื่อตรวจจับว่าเหตุการณ์บางอย่างสามารถอธิบายได้ด้วยเหตุการณ์อื่นหรือไม่ ตัวอย่างเช่น หากฐานข้อมูล D ทำงานบนเซิร์ฟเวอร์ S และเซิร์ฟเวอร์นี้รับภาระงานเกินกำลังอย่างต่อเนื่อง (CPU ถูกใช้ที่ 100% เป็นเวลานาน) เหตุการณ์ "SLA สำหรับฐานข้อมูล D ไม่เป็นไปตามข้อตกลงระดับการให้บริการอีกต่อไป" สามารถอธิบายได้ด้วยเหตุการณ์ "เซิร์ฟเวอร์ S รับภาระงานเกินกำลังอย่างต่อเนื่อง"

ในขั้นตอนนี้ ตัวเชื่อมโยงเหตุการณ์จะเหลือเหตุการณ์ที่ต้องดำเนินการเพียงไม่กี่เหตุการณ์เท่านั้น หากพูดกันตามตรงแล้ว ตัวเชื่อมโยงเหตุการณ์จะสิ้นสุดเพียงแค่นั้น อย่างไรก็ตาม ตัวเชื่อมโยงเหตุการณ์ที่พบในตลาด (เช่น ในการจัดการเครือข่าย ) บางครั้งก็รวมเอาความสามารถในการแก้ปัญหาไว้ด้วย เนื่องจากมีการใช้ภาษาที่ไม่เหมาะสม ตัวอย่างเช่น ตัวเชื่อมโยงเหตุการณ์อาจกระตุ้นการดำเนินการแก้ไขหรือการสืบสวนเพิ่มเติมโดยอัตโนมัติ

ขอบเขตของITILนั้นกว้างกว่าการจัดการแบบบูรณาการ อย่างไรก็ตาม ความสัมพันธ์ของเหตุการณ์ใน ITIL นั้นค่อนข้างคล้ายคลึงกับความสัมพันธ์ของเหตุการณ์ในการจัดการแบบบูรณาการ

ในกรอบงาน ITIL เวอร์ชัน 2 ความสัมพันธ์ของเหตุการณ์ครอบคลุม 3 กระบวนการ: การจัดการเหตุการณ์ การจัดการปัญหา และการจัดการระดับบริการ

ในกรอบงาน ITIL เวอร์ชัน 3 การเชื่อมโยงเหตุการณ์จะเกิดขึ้นในกระบวนการจัดการเหตุการณ์ ตัวเชื่อมโยงเหตุการณ์เรียกว่ากลไก การเชื่อมโยง

• การติดตามกิจกรรมทางธุรกิจ
• การใช้เหตุผลเชิงเหตุผล
• การประมวลผลเหตุการณ์ที่ซับซ้อน
• กฎระเบียบ ECA
• การประมวลผลสตรีมเหตุการณ์
• สถาปัตยกรรมตามเหตุการณ์
• การเขียนโปรแกรมตามเหตุการณ์
• SOA ที่ขับเคลื่อนด้วยเหตุการณ์
• การจัดการเหตุการณ์
• ระบบติดตามปัญหา
• การจัดการบริการด้านไอที
• การจัดการเครือข่าย
• การจัดการปัญหา
• การวิเคราะห์สาเหตุที่แท้จริง
• การควบคุมดูแลและการรวบรวมข้อมูล (SCADA)
• การจัดการระบบ

• M. Hasan, B. Sugla และ R. Viswanathan, "กรอบแนวคิดสำหรับการเชื่อมโยงเหตุการณ์และระบบการกรองการจัดการเครือข่าย" ในการ ประชุมเชิงปฏิบัติการ IFIP / IEEEครั้งที่ 6 ว่าด้วยการจัดการเครือข่ายแบบบูรณาการ (IM 1999)เมืองบอสตัน รัฐแมสซาชูเซตส์ สหรัฐอเมริกา พฤษภาคม 1999 หน้า 233–246
• HG Hegering, S. Abeck และ B. Neumair, การจัดการแบบบูรณาการของระบบเครือข่าย , Morgan Kaufmann, 1998
• G. Jakobson และ M. Weissman, "Alarm Correlation", IEEE Network , Vol. 7, No. 6, หน้า 52–59, พฤศจิกายน 1993
• S. Kliger, S. Yemini, Y. Yemini, D. Ohsie และ S. Stolfo, "A Coding Approach to Event Correlation" ในProc. 4th IEEE/IFIP International Symposium on Integrated Network Management (ISINM 1995)ซานตาบาร์บารา แคลิฟอร์เนีย สหรัฐอเมริกา พฤษภาคม 1995 หน้า 266–277
• JP Martin-Flatin, G. Jakobson และ L. Lewis, "ความสัมพันธ์ของเหตุการณ์ในการจัดการแบบบูรณาการ: บทเรียนที่ได้รับและแนวโน้ม" วารสารการจัดการเครือข่ายและระบบเล่มที่ 17 ฉบับที่ 4 ธันวาคม 2550
• M. Sloman (บรรณาธิการ), "การจัดการเครือข่ายและระบบแบบกระจาย", Addison-Wesley, 1994

• หน้าเทคโนโลยีการเชื่อมโยงเหตุการณ์ Softpanorama