Information Technology Reference
In-Depth Information
4.3.5.3.3■Aufzeichnung des Events (event logging)
Für jedes erkannte Event sollte ein entsprechender Record angelegt und die nachfolgenden
Aktivitäten dokumentiert werden. Die Art der Aufzeichnung hängt von den vorhandenen
Werkzeugen und der Art des Events ab. Es kann ein Ticket in einem entsprechenden Tool,
aber auch ein automatisch erzeugter Eintrag in einer Log-Datei sein.
4.3.5.3.4■Zuordnen und Signiikanz festlegen
Erste Zuordnung und Filtern (1st Level event correlation and iltering)
Zunächst wird entschieden, ob ein Event überhaupt von Bedeutung ist und an die entspre-
chenden Management-Tools kommuniziert wird oder ob es ignoriert werden kann. Der Grund,
warum diese Entscheidung hier erneut getrofen wird, ist die Möglichkeit, Events trotz der
Erkennung durch eine automatisierte „event notiication“ zu ignorieren, wenn es sinnvoll
erscheint. In einigen Situationen kann es sinnvoll sein, nur das Erste einer Reihe identischer
Events weiter zu verarbeiten. In diesem Fall erfolgt hier auch die entsprechende Filterung
der nachfolgenden Events.
Signiikanz der Events (signiicance of events)
In diesem Schritt werden die als relevant erkannten Events entsprechend ihrer Signiikanz
klassiiziert, um die geeigneten Reaktionen ableiten zu können. Welche Kategorien deiniert
werden, hängt von der Art der Services und den Anforderungen an deren Betrieb ab. Jedes
Unternehmen sollte sich hier genau überlegen, welche Abstufungen sinnvoll sind. Als An-
haltspunkt können die in Abschnitt 4.3.4.2 beschriebenen Event-Typen dienen:
Information (Information)
Warnung (Warning)
Ausnahme (Exception)
Zweite Zuordnung (2nd level event correlation)
Insbesondere wenn es sich um Warnungen handelt, muss festgelegt werden, was das ent-
sprechende Event für die Infrastruktur und für die Services bedeutet. Entsprechend dieser
Bedeutung werden an dieser Stelle Entscheidungen über die Art und den Umfang der weiteren
Maßnahmen getrofen. Die Einordnung (correlation) von Events erfolgt nach Möglichkeit
automatisiert über so genannte „correlation engines“. Diese leiten aus deinierten Kriterien
eine Entscheidung über die Signiikanz der aufgetretenen und relevanten Events ab. Mögliche
Aspekte für die Gestaltung und Koniguration sind:
Anzahl identischer Events
Anzahl unterschiedlicher CI, die identische oder ähnliche Events erzeugen
Art und Zuordnung deinierter Schwellwerte
Eventkategorien
Priorisierung der Events
