Correlación de eventos con opEvents

Como ingeniero de soporte de Opmantek, trabajo con muchas organizaciones que supervisan miles de dispositivos en sus redes. En entornos de red complejos, se generan miles o incluso millones de eventos en un periodo corto. Estos eventos van desde los críticos hasta los informativos, y la identificación y comprensión de ambos es clave para mantener una red en funcionamiento eficiente.

Mirar los registros de eventos es tedioso, y con muchos eventos, es fácil perderse los críticos. Los ingenieros me han dicho que dejaron de mirar las notificaciones de eventos porque había tantos, que se volvieron indiferentes a ellos. La solución de gestión de eventos de Opmantek, opEvents, no sólo reduce el spam de eventos, sino que también puede utilizarse para una gestión eficaz del tiempo y los eventos.

Un equipo de ingenieros de una gran organización estaba siendo bombardeado por eventos de cientos de máquinas durante su período de actualización de Windows programado regularmente. Este equipo ignoraba las notificaciones de eventos durante este tiempo ya que se producían con mucha frecuencia. Sin embargo, al mismo tiempo, tenían múltiples avisos de que un grupo de servidores junto con sus servicios se habían caído. Los registros de eventos indicaban que esto estaba ocurriendo, el personal de TI fue notificado pero, como ocurría durante un período típico de eventos ocupados, fueron ignorados. Como resultado, estos servidores permanecieron fuera de servicio hasta que alguien finalmente se dio cuenta del suceso horas más tarde. Este tiempo de inactividad supuso una pérdida de ingresos para la empresa y el descontento de algunos directivos.

Se descubrió que este problema se produjo debido a que un router dejó de funcionar. El equipo buscó una solución y dio con opEvents de Opmantek. Con opEvents, su organización obtiene la capacidad de clasificar y correlacionar múltiples eventos de varias fuentes en un solo evento. Esto reduce el spam de eventos y el desorden para ayudar a su equipo a identificar rápidamente qué eventos son importantes y cuáles no. opEvents analizará, clasificará y correlacionará inteligentemente múltiples eventos de varias fuentes en un solo evento, reduciendo el ruido antes de crear cualquier alerta. Este equipo de ingenieros puede ahora identificar rápidamente no sólo cuando un enrutador está completamente muerto, sino también ver si algún enrutador tiene un rendimiento inferior, previniendo cualquier tiempo de inactividad futuro, haciendo que el equipo sea más proactivo.

El equipo de ingenieros del ejemplo anterior discutió cómo se podría utilizar opEvents para evitar que una situación como ésta se repita. Se les ocurrió una regla de correlación de eventos para notificarles en casos similares.

Para crear este tipo de regla de correlación, comience por navegar por el archivo conf de su instalación de opEvents y creando una entrada en EventRules.nmis.

Una regla simple de correlación de eventos consiste en:

Un evento nombreespecificando el nombre de su evento recién creado.
Una lista de evento que son los eventos deseados para la correlación
Un mínimo recuento de eventos que tienen que ser detectados para activar la regla
Una lista opcional de groupby de la lista. Estas definen si el recuento se interpreta globalmente para todos los eventos nombrados, o por separado dentro de grupos más pequeños.
Una opción enriquecer opcional. Esto ajusta el contenido del evento recién creado.
La última ventana que define la ventana de tiempo a examinar para el evento.

A continuación se muestra un ejemplo de regla de correlación de eventos:

‘3’=> { name => ‘Customer Outage’, events => [“Node Down”,”SNMP Down”], window => ’60’, count=> 5, groupby=>[‘node.customer’], # count separately for every observed value of customer enrich=>{priority => 3, answer => 42}, # any such items gets inserted in the new event }, The example shows an event correlation event rule indicating that when the events “Node Down” and “SNMP Down” are triggered within a 60-second window, separate them into per-customer groups; if it counts 5 or more events in a group, then create a new event called Customer Outage. This is only one example of a custom event correlation rule. There are many more examples, use cases, and features that are discussed more on our opEvents Wiki page.

El uso de esta herramienta de gestión de eventos reducirá el spam de eventos, lo que permitirá a su equipo darse cuenta de los eventos críticos que necesitan una acción rápida. Los eventos importantes serán más difíciles de pasar por alto durante las tormentas de eventos. Los eventos redundantes pueden reducirse mediante la automatización de la gestión de eventos. Ahorre tiempo, reduzca los costes operativos, obtenga información sobre la red y mantenga su red funcionando sin problemas. Amplíe su conjunto de herramientas con estas características y otras más en opEvents y tome el control de su red.

Para obtener más información sobre las herramientas de gestión de eventos de Opmantek, otras soluciones de Opmantek o para programar una demostración, visite nuestro sitio web en www.opmantek.com. También puede enviarnos un correo electrónico a contact@opmantek.com.

Correlación de eventos con opEvents

Recursos relacionados

Recursos que pueden gustarle

Cómo el sistema NMIS de FirstWave podría haber mitigado el apagón de Optus

Formas de gestionar su sistema IoT mediante software de gestión de redes

Aprovechando los Ocho Esenciales de la ACSC: Guía completa para la evaluación de la seguridad de los ocho elementos esenciales

¿Necesita ayuda?