Event Management entdeckt Ereignisse, analysiert diese und bestimmt die geeigneten Massnahmen. Normalerweise erfolgt die Überwachung über ein automatisiertes Tool.
Grundkonzepte
Es gibt verschiedene Event-Typen:
- Events die eine normale Operation anzeigen, z.B. Benutzer loggt sich in der Applikation ein
- Events, die eine abnormale Operation anzeigen, z.B. PC Scan der unerlaubte Software entdeckt hat
- Events, die eine ungewöhnliche Operation, jedoch keinen Ausnahmezustand anzeigen, z.B. Speicher fast voll
- Event Eintritt: Events werden nicht immer festgestellt, es muss vorher festgelegt werden, welche Events relevant sind.
- Event Rapportierung: Ein Management Tool prüft ein Gerät und sammelt Daten (Polling). Das CI generiert selbst einen Bereicht, wenn eine bestimmte Kondition erfüllt wird.
- Event Aufdeckung: Ein Mangement-Tool entdeckt einen Bericht über ein Event, list und interpretiert ihn.
- Event Filterung: Hier wird entschieden, ob der Event an ein Management-Tool weitergeleitet wird und/oder in ein Log geschrieben wird.
- Event Klassifikation: Hier wird festgestellt, wie kritisch ein Event ist und ob eine Alarmierung ausgelöst werden muss.
- Event Korrelation: Die Bedeutung eines Events wird festgesetzt und es wird ermittelt, welche Aktionen ergriffen werden müssen.
- Trigger: Ist der Event als signifikant eingestuft worden, wird eine Reaktion nötig. Den Mechanismus der die Reaktion einleitet nennt man Trigger. Es gibt folgende Trigger: Incident Trigger (löst Incident aus), Script Trigger (führen bestimmte automatisierte Tasks aus), Datenbank Trigger (verweigern z.B. Zugriff auf bestimmte Daten)
- Event Beurteilung: Alle wichtigen Events sollten beurteilt werden.
- Abschluss des Events: Event wird geschlossen
No comments:
Post a Comment