Planung einer Ereigniskorrelation

Zur Planung einer Ereigniskorrelation gehört ein grundlegendes Verständnis darüber, was eine Ereigniskorrelation ist und wie sie in ihrer Anwendung angewendet werden kann.

Vergewissern Sie sich, dass Sie die folgenden Konzepte verstehen:
Jede Anwendung kann eine unterschiedliche Gruppe von Ereignissen verarbeiten, wie in den folgenden Beispielen beschrieben:
Beispiel für das Versicherungswesen
Im Versicherungswesen können Ereignisse, die den Arbeitsablauf zur Bearbeitung von Leistungsansprüchen aufzeichnen, erzeugt und korreliert werden, um festzustellen, ob die Geschäftsprozesse zeitnah beendet werden.
Beispiel für den Vertrieb
Im Vertrieb können Umsatzergebnisse regelmäßig zusammengefasst, aufgelistet und mit einem Ziel verglichen werden, um den Status der zu erreichenden Verkaufsziele in einem bestimmten Zeitraum anzuzeigen.
Beispiel für eine IT-Umgebung
In einer IT-Umgebung kann ein unternehmenskritisches System jede Minute ein Ereignis erzeugen, um anzuzeigen, dass ein Datenbankserver normal ausgeführt wird. Korrelationsregeln können geschrieben werden, um den Erhalt dieser Überwachungsereignisse zu überwachen und bestimmte Regelantwortaktionen auszuführen, wenn ein erwartetes Überwachungsereignis nicht empfangen wird.

Außerdem sollten Sie das Format der Ereignisse verstehen, die ihre Anwendung verarbeitet. Active Correlation Technology stellt Java-Klassen und -Methoden zur Verfügung, um auf Daten in Ereignissen zuzugreifen, die durch die ACT-Engine verarbeitet werden. Wenn Sie diese Klassen und Methoden verwenden wollen, um bei der Verarbeitung auf Ereignisse zuzugreifen oder diese zu ändern, sollten Sie in jedem Fall ein grundlegendes Verständnis für die zugrundeliegenden Ereignisobjekte haben.

Gehen Sie zur Planung einer Ereigniskorrelation wie folgt vor:
  1. Ermitteln Sie die Ereignisse Ihrer Anwendung, die korreliert werden sollen.
  2. Ermitteln Sie die Regelmuster zum Korrelieren der Ereignisse.

    Ein Regelmuster stellt eine bestimmte Situation einer Ereigniskorrelation dar. Es kann zum Korrelieren der Ereignisse verwendet werden, die etwas zu dieser Situation beitragen. Denken Sie daran, wie sich die Ereignisse, die von Ihrer Anwendung verarbeitet werden, auf die Regelmuster beziehen, die durch die ACT-Regelsprache definiert werden. Dies ist möglicherweise hilfreich, um festzustellen, welche Regelmuster verwendet werden müssen.

    Verwenden Sie immer das Muster, das für Ihre Situation einer Ereigniskorrelation am besten geeignet ist. Wenn Sie z. B. möchten, dass eine Regel eine bestimmte Folge von Ereignissen erkennt, sollten Sie keinen Code schreiben, um das Sequenzmusterverhalten in die Regelantwortaktionen für eine Filterregel einzuschließen. Verwenden Sie stattdessen das Sequenzmuster, um eine Sequenzregel zu erstellen.

  3. Ermitteln Sie die Anweisungen jedes Regelmusters, das Sie verwenden wollen.
    In den folgenden Informationen werden die primären Anweisungen der Regelsprache zusammengefasst, wobei die Details jeder Anweisung für das Regelmuster eindeutig sind. Diese Informationen sind ähnlich organisiert, wie sie in der GUI des Regelerstellungsprogramms dargestellt werden:
    Merkmale
    Definition der Regelmerkmale einschließlich Regelname, Beschreibung und Muster. Details finden Sie in den folgenden Themen:
    Variablen
    Definition der Regelvariablen einschließlich Name, Typ, Beschreibung und Initialisierungsausdruck für jede Variable. Details finden Sie in Element 'variable'.
    Ereignisauswahl
    Definition der Kriterien, die festlegen, welche Ereignisse von der Regel für die Verarbeitung akzeptiert werden. Details finden Sie in Element 'eventSelector'.
    Gruppierungsschlüssel
    Definition des Gruppierungsschlüssels, über den die Regel angewiesen wird, eine getrennte Regelinstanz (oder eine Kopie) für jede Gruppe von Ereignissen zu erstellen, die allgemeine Merkmale gemeinsam nutzen. Details finden Sie in Element 'groupingKey'.
    Musterspezifikationen
    Spezifikation des Zeitraums, während dessen die statusabhängige Regel verarbeitet wird, um ihr Muster und die Definition von eindeutigen Aspekten bestimmter statusabhängiger Regelmuster abzugleichen. Details finden Sie in Element 'timeWindow'.

    Bei der Berechnungsregel ist die Definition der Berechnung mit eingeschlossen, die auf die erfassten Ereignisse angewendet wird. Details finden Sie in Element 'computeFunction'.

    Bei der Schwellenwertregel sind die Definition des Schwellenwerttyps und weitere für den Typ spezifische Informationen mit eingeschlossen. Details finden Sie in den folgenden Themen:

    Regelantworten
    Definition der Aktionen, die ausgeführt werden sollen, wenn die Regel ihre Verarbeitung beendet.
    Details finden Sie in den folgenden Themen:
    Aktivierungsintervall
    Definition, wann eine Regel aktiv bzw. inaktiv ist. Details finden Sie in Element 'activationInterval'.
    Lebenszyklus
    Definition der Aktionen, falls vorhanden, die in den folgenden vier primären Phasen im Lebenszyklus einer Regel stattfinden sollen: Laden, Aktivierung, Inaktivierung und Entladen. Normalerweise müssen diese Aktionen nicht definiert werden. Details finden Sie in Element 'lifeCycleActions'.
  4. Geben Sie Java-Methoden und zugeordnete Snippets an, die innerhalb von Regelausdrücken aufgerufen werden sollen. Anstatt umfassenden Java-Code innerhalb von Regelausdrücken zu schreiben, sollten Regelautoren Java-Methoden für den Aufruf externer Module verwenden. Diese externen Module können von der Anwendung bereitgestellt werden, in die Active Correlation Technology eingebettet ist, oder vom Regelautor nach Bedarf erstellt werden. Die Snippets, die den einzelnen Java-Methoden zugeordnet sind, sollten ebenfalls angegeben werden. Weitere Informationen finden Sie in Bewährte Verfahren zur Codierung von Ausdrücken.
Fahren Sie mit Regeln für die Korrelation von Ereignissen entwerfen fort.