Funcionalidades Release

Alertas de correlación de eventos: personaliza tus alertas para hacer más fácil tu trabajo

abril 6, 2017

Alertas de correlación de eventos: personaliza tus alertas para hacer más fácil tu trabajo

This post is also available in : Inglés

Alertas de correlación de eventos: personaliza tus alertas

Una de las funcionalidades más significativas de Pandora FMS es su consola o visor de eventos. No obstante, hay otra funcionalidad estrechamente relacionada que no es tan conocida y no por ser menos importante o útil. En este artículo vamos a ver las posibilidades y utilidades que pueden ofrecernos la consola de eventos y una de sus cualidades más potentes: las alertas de correlación de eventos.

Si ya tenemos un entorno de miles de chequeos puede resultar laborioso y complejo establecer alertas para cada uno de ellos, además de poco eficiente. Si bien es cierto que gracias a las políticas el proceso se vuelve infinitamente más sencillo y ordenado, existen otras aproximaciones a las que podemos optar gracias a las alertas de correlación de eventos.

Alertas genéricas por grupos de agentes

¿No sería más fácil establecer una alerta genérica para todos nuestros routers de producción? De modo que cualquier router, cuya conexión se interrumpa inmediatamente, nos avise mediante un correo electrónico. Si el día de mañana añadiéramos nuevos routers, no tendríamos que preocuparnos por la configuración de nuevas alertas.

Alertas genéricas para clusters

El mismo concepto puede aplicarse a infinidad de situaciones. Por ejemplo, un cluster dinámico de servicios web, de modo que cuando algún nodo presente demasiada carga, sin importar cuál, recibamos una notificación por alerta.

Correlación de alertas

Pero las posibilidades no se quedan solo aquí, también podemos establecer lógicas de combinación de alertas, de modo que recibamos notificaciones, por ejemplo, al producirse dos eventos críticos de forma consecutiva o simultánea. O que aparezcan varios eventos críticos de latencia de forma simultánea o en un corto periodo de tiempo.

Esto es posible debido al funcionamiento de las alertas de correlacion de eventos, cuyas condiciones de disparado no son como las alertas habituales de Pandora FMS, que hay que definirlas en una relación 1:1

Te explicamos todo lo que necesitas saber a lo largo de este artículo.

Consola de eventos

En primer lugar vamos a presentar la consola de eventos; su trabajo está en mostrar, de una forma muy visual y fácil de interpretar, los últimos acontecimientos ocurridos en el sistema de monitorización.

Circunstancias como cambios de estado, creación de nuevos agentes o disparado de alertas, serán siempre reflejados en la consola de eventos como una entrada propia, que llamaremos evento.

Consola de eventos:

alertas de correlacion de eventos

Estos eventos contienen información detallada del acontecimiento que generó el evento; datos tales como: elemento en cuestión (agente, alerta, módulo…), momento exacto en que se produjo (fecha, hora), importancia o severidad del evento (crítico, informativo…), y permitirnos acceder al histórico de datos, gráficas e información asociada al elemento que disparó el evento.

Vista general del evento:

alertas de correlacion de eventos

Detalles ampliados de evento:

alertas de correlacion de eventos

Además de contener información, los eventos permiten una interacción tanto con los sistemas como con nuestro grupo de operadores u otras personas, en su caso, mediante comentarios:

alertas de correlacion de eventos

Además existen acciones remotas manuales que pueden realizarse sobre los eventos, como asignar o cambiar un propietario, modificar el estado o comprobar que un host se encuentra levantado mediante ping. Estas opciones se pueden ampliar y personalizar para integrarlo con otras aplicaciones.

Como hemos visto, la información mostrada por la consola de eventos es sumamente completa. Pero ahora que hemos visto a grandes rasgos sus principales características, vamos a ver cómo trabajar con el sistema de alertas de correlación de eventos.

Funcionamiento de alertas de correlación de eventos

Este tipo de alertas basadas en eventos consisten en la ejecución automática de una serie de acciones en función de un conjunto de reglas que se aplican sobre los eventos que se generan.

Para las alertas normales de Pandora FMS, las alertas se asociaban individualmente a módulos, y se definían unas reglas de disparado, que habitualmente tenían en cuenta el estado del módulo o los datos recogidos por el mismo. En el caso de las alertas de correlación de eventos el funcionamiento es distinto.

El disparado de las alertas se realiza en base a una serie de filtros o reglas configurables. Con estos filtros podemos escoger desde qué tipo de eventos queremos que disparen alerta, hasta el agente que generó el evento o incluso el contenido textual.

Los campos que utilicemos en nuestros filtros son comparados con los eventos que se van generando y, de encontrar coincidencias, las alertas serán disparadas. Por ejemplo, podríamos crear un filtro que nos avise de cualquier evento crítico de módulos con nombre “Host Alive”, por lo que, con una única regla, habríamos configurado las alertas de modo que recibiéramos inmediatamente una notificación en caso de que hubiese una caída de cualquiera de los sistemas.

Es posible utilizar varios filtros con diferentes opciones para una misma alerta, por lo que podremos esperar a que se produzcan varios eventos para disparar la alerta, permitiendo así una correlación completa entre eventos y alertas.

Esto podría servirnos en casos en que queremos una alerta específica en caso de fallos simultáneos o reiterados, por ejemplo si un sistema se cae varias veces durante un día, o bien si varios miembros de un cluster tienen errores críticos en un intervalo específico de tiempo, lo que llamamos ventana de tiempo.

Además el sistema de alertas por evento es muy útil para avisarnos de cambios producidos en el inventario, pudiendo avisarnos si se ha modificado el hardware de un equipo de forma no autorizada o bien se ha instalado software no corporativo en algún sistema.

Configuración

La creación de alertas basadas en eventos es sencilla y permite una gran flexibilidad, al igual que las alertas normales. Accederemos a la sección específica de alertas de evento y mediante la acción Crear, entraremos en un formulario similar al de las plantillas de alertas habituales.

Tendremos un primer formulario en el que indicaremos parámetros como nombre de la alerta, acción por defecto y rango de tiempo en el que la alerta funcionará. Aquí podríamos limitar que la alerta no funcione durante los fines de semana o por la noche:

alertas de correlacion de eventos

Seguiremos el wizard hasta completar el proceso de creación y al terminar podremos ver el listado de alertas de evento:

alertas de correlacion de eventos

A continuación definiremos las opciones de filtrado que se tendrán en cuenta para hacer saltar una alerta, mediante el botón correspondiente:

En el siguiente ejemplo queremos que se dispare la alerta siempre que un módulo con el nombre “Tráfico de red” pase a estado warning:

alertas de correlacion de eventos

Existe una forma de llevar el sistema de alertas de eventos un paso más allá, usando la API o CLI (herramienta de línea de comando) para crear eventos de forma automatizada gracias al uso de scripts.

Esto puede ayudarnos a cubrir circunstancias no contempladas, como creación de eventos al recibir TRAPS SNMP, eventos con contenido textual de un SMS o mensaje de Telegram, o bien crear eventos en Pandora FMS basados en integraciones con software de terceros.


    Written by:



    Leave a comment

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.