Correlación externa
En la revisión 03.07.02 de CNM se incluye la funcionalidad de correlación externa, es decir entre alertas de diferentes dispositivos. Esto permite reducir el número de alertas presentes en el sistema ocultando aquellas que son consecuencia de alertas producidas en dispositivos relacionados. Un ejemplo puede ser el caso de una delegación remota que se queda incomunicada por un problema con sus comunicaciones (router, operadora, etc ...). En esta situación, la causa orígen de fallo es la caida del equipo de comunicaciones y las alertas de los otros equipos de la delegación son consecuencia de ésta.
En la revisión 03.07.02 de CNM se incluye la funcionalidad de correlación externa, es decir entre alertas de diferentes dispositivos. Esto permite reducir el número de alertas presentes en el sistema ocultando aquellas que son consecuencia de alertas producidas en dispositivos relacionados. Un ejemplo puede ser el caso de una delegación remota que se queda incomunicada por un problema con sus comunicaciones (router, operadora, etc ...). En esta situación, la causa orígen de fallo es la caida del equipo de comunicaciones y las alertas de los otros equipos de la delegación son consecuencia de ésta.
En la correlación externa debemos entender dos conceptos:
-
-
Dispositivo/Alerta correladora: Alerta que al producirse sobre un determinado dispositivo, permite ocultar las alertas de otros dispositivos (alertas correladas).
-
Dispositivos correlados: Dispositivos con las alertas inhibidas por una alerta correladora.
-
Para configurar la correlación externa en el sistema, lo primero es identificar cual es el dispositivo que puede correlar a otros e identificar la alerta correladora. Esto se hace desde la solapa de Métricas en curso del propio dispositivo, seleccionando una métrica TCP/IP o una métrica con monitor y pulsando sobre el botón de Acciones -> Correlar.
A partir de éste momento, la alerta correladora se puede identificar en la lista de métricas en curso porque aparece con una estrella en el nombre como se puede apreciar en la siguiente imágen:
Una vez definida la alerta correladora del dispositivo, hay que asociar los dispositivos dependientes. Esto se hace desde la rama de Configuración, en la solapa de Correlación Externa.
En la parte superior aparecerá la lista de dispositivos que tienen definida una alerta correladora y en la parte inferior una tabla con los dispositivos presentes en el sistema para asociar/desasociar a cada una de las alertas correladoras de la mitad superior.
Lo habitual es que la alerta correladora sea la de dispositivo incomunicado, pero para ver otras posibilidades, en este ejemplo hemos utilizado un monitor basado en una métrica de tipo proxy que detecta si hay correos de SPAM en una cuenta de correo. Al producirse la alerta, el dispositivo correlado es el equipo windows7.s30labsi.com.
En la correlación externa, las alertas de los dispositivos correlados aparecen con la severidad gris como se puede observar en la siguiente imágen.
Si no se hubiera definido la correlación externa entre estos dispositivos, las alertas generadas serían las de la siguiente imágen.
