alexa Alerting, Escalation and Event Log Management in NetCrunch

Alerting, Escalation and Event Log Management in NetCrunch

NetCrunch kann als Log-Server für externe Ereignisquellen arbeiten. Es speichert die Ereignisse in der NetCrunch Ereignisprotokoll-Datenbank und führt definierte Warnaktionen (z.B. Benachrichtigungen) aus.

Alert Sources

Auslöser für Performanz-Metrik

NetCrunch kann Tausende von Performanz-Metriken verfolgen. Unabhängig von der Herkunft können die Benutzer immer die gleiche Gruppe von Bedingungen verwenden, um Alarme über aktuelle oder Durchschnitts-Werte auszulösen.

Zusätzlich zu einfachen Schwellenwerten bietet NetCrunch erweiterte Auslösertypen inkl. Baseline an,die aktuelle Daten mit den Ausgangsdaten vergleichen, die für jede Stunde und jeden Tag der Woche gesammelt wurden.

Ein weiterer nützlicher Auslöser ist der Status, der ermöglicht, auf diskrete Werte-Änderungen (zum Beispiel eine Änderung des Werts von 0 bis 1) zu reagieren. Hier repräsentiert der Zähler ein Status eines Dienstes oder Geräts.

Erhältliche Auslösertypen :

  • Schwellwert
  • Abweichungsschwelle
  • Basislinien-Trigger
  • Status-Trigger
  • Konstant
  • Wert Fehlend / Existierend
  • Delta
  • Bereich

Event Triggers

Alarmstatus

NetCrunch überwacht den Status von vielen Objekten wie: Knoten, Schnittstellen, Dienste, Windows-Dienste und vieles mehr. Diese Alarme werden automatisch korreliert.

Sensoren

NetCrunch verwendet Sensoren für komplexere Aufgaben wie die Überwachung von Dateiinhalt, E-Mails, Web-Seiten oder die Überprüfung von HTTP-Antworten.

Windows-Ereignisprotokolle Überwachung

NetCrunch kann Ereignisprotokolldaten von mehreren Windows-Maschinen sammeln, filtern und analysieren.

Es ermöglicht Filter zu definieren, um Ereignisprotokollereignisse in Alarme umzuwandeln. Ereignisse gleichen Typs werden zusammengefügt, wenn sie innerhalb weniger Sekunden auftreten - dies schützt den Server vor Alarm-Überflutung.

@@event-log-query.png Windows Event Log Query Builder

Syslog, SNMP Traps & Text Logs

NetCrunch erhält SNMPv1, SNMPv2 und SNMPv3 Traps. Es kann auch Traps zu einem anderen SNMP-Manager weiterleiten.

NetCrunch kann als Syslog-Server fungieren. Sie können Filter für eingehende Ereignisse definieren, damit der richtige Alarm zugewiesen werden kann.

Alarm "durch Beispiel"

Alle eingehenden Traps und Syslog Nachrichten (auch von Knoten, die nicht in dem Atlas überwacht sind) sind im Fenster Externe Ereignisse sichtbar. Mit einem einzigen Klick kann der Anwender Traps in Alarme konvertieren (Knoten wird, wenn notwendig, im Atlas hinzugefügt). NetCrunch ermöglicht somit Alarme für Traps "durch Beispiel" zu definieren

Textprotokolle Überwachung

NetCrunch Datei-Sensor ist in der Lage, Text-Log-Dateien zu überwachen. Es kann auch für die Überwachung von Linux-Dateien über FTP/S oder HTTP/S verwendet werden.

Externe Daten

NetCrunch bietet mehrere Möglichkeiten der Bereitstellung von Daten an. Dies können typischerweise Leistungsindikatoren oder diskrete Zähler wie Fehlercodes oder Statuswerte sein. In beiden Fällen ermöglicht NetCrunch Trigger und Alarme auf diese Werte zu setzen.

Open Monitor

Alert Processing

Ausstehende Alarm-Korrelation

Alle internen Alarme sind standardmässig korreliert, somit weiss NetCrunch, wann ein Alarm startet und endet.

Diese Version erlaubt es auch für externen Alarm (syslog, SNMP traps, Windows Events) eine Aktion beim Schließen zu definieren. Dies ermöglicht Ihnen, sich nur auf ungelöste Probleme zu konzentrieren und einfache Integration mit externen Systemen (Helpdesk) zu implementieren.

@@3pending-alerts.png Pending Alerts View

Erweiterte Korrelation

NetCrunch (nur PremiumXE) enthält ein globales Monitoring Pack mit Korrelationen, damit Ereignisse von mehreren Knoten verbunden werden können. Dies kann hilfreich sein, wenn Sie eine Benachrichtigung definieren wollen, nur wenn andere Ressourcen gescheitert sind (redundante Verbindungen).

Alarme können ausgelöst werden, wenn alle Ereignisse in einem wartenden Zustand sind (alle Alarme-Definitionen müssen Korrelation enthalten), oder durch die Definition eines Zeitrahmens, während dessen sie aufgetreten sind. Diese korrelierten Alarme können auf alle Ereignisse, die zuvor im Atlas definiert wurden, verwendet werden.

Konditional Alarmierung

NetCrunch ermöglicht die Definition zusätzlicher Konditionen für jeden Alarm, egal ob es sich um Knoten Status, Protokoll-Ereignis oder SNMP-Trap handelt. Diese Konditionen erlauben eine Aktion auszulösen, auch wenn ein Ereignis nicht stattgefunden hat. Zum Beispiel wenn im Log Einträge bzgl. einer bestimmten Operation (Backup) fehlen. Andere Konditionen erlauben das Blockieren der Ausführung für eine definierte Zeit (Aktionen bei der Alarm-Schließung werden auch nicht ausgeführt).

Verfügbare Konditionen

  • Beim Ereignis
  • Wenn Ereignis nach Zeit x passiert
  • Wenn Ereignis mehr als x Mal passiert
  • Nur im Zeitbereich
  • Nur wenn nicht im Zeitbereich
  • Wenn Ereignis nicht im Zeitbereich passiert,
  • Wenn Ereignis nicht nach Zeit x passiert
  • Wenn Ereignis länger als x offen ist

NetCrunch unterstützt Zeitregeln für Alarme von einfachen Zeitbereich bis hin zu komplexen Definitionen.

@@time-range-scheme.png Complex Time Range Scheme

Alerting Actions

Aktionen

Als Antwort auf ein Ereignis, kann NetCrunch Aktionen auszuführen. Aktionen können auch ausgeführt werden, wenn ein Alarm endet (bei der Schliessung). NetCrunch enthält verschiedene Maßnahmen darunter: Benachrichtigungen, Protokollierung, Kontroll-Maßnahmen und Remote-Scripts.

Benachrichtigung sind sehr flexibel und werden in Benutzer- und Gruppen-Profilen definiert. Darüber hinaus können Sie dies mit Ansicht Zugehörigkeiten kombinieren, damit sind die Benachrichtigungen an verschiedene Gruppen möglich, basierend auf Standorte oder andere Merkmale.

Vordefinierte Aktionen

  • Basisaktionen: Sound abspielen, Desktop-Benachrichtigungsfenster, Traceroute hinzufügen, Hinzufügen von Netzwerkdienststatus, Gruppen Benachrichtigung, E-Mail, SMS (per E-Mail), SMS via Handy
  • Computer Kontroll-Aktionen: Windows-Programm ausführen, Windows Script ausführen, SSH-Skript ausführen, Computer Neustart, Herunterfahren, SNMP Variable setzen, Windows-Prozess beenden, Windows-Dienst Kontrolle, Wake on LAN
  • NetCrunch Kontrol-Aktionen: Knotenüberwachungsstatus ändern, Knoten Ereignis-Liste ändern, Angekommene Ereignis setzen, Angekommene Ereignis aufräumen
  • Lokal Protokollierung-Aktionen: in Datei schreiben, im Windows-Ereignisprotokoll schreiben, in eindeutige Datei schreiben
  • Remote Protkollierung-Aktionen: SNMP Trap verschicken, Syslog Nachricht verschicken, WebHook starten
  • Linux Remote Scripts: Herunterfahren, Neustart, Neustart SNMP Daemon, CD-ROM mounten und auswerfen
  • Windows: Festplatten Defragmentierung ausführen, SNMP-Dienst starten und stoppen

Alerting Actions

Alarmaktion Eskalation & Konditional Ausführung

Aktionen können sofort oder mit Verzögerung ausgeführt werden (wenn der Alarm noch offen ist) und die letzte Aktion kann wiederholt werden. Zusätzlich können Sie Aktionen angeben, die automatisch ausgeführt werden, wenn der Alarm geschlossen wird.

Zum Beispiel können Sie eine Benachrichtigung zu einer Person senden, und nach einiger Zeit einen Server-Neustart ausführen.

@@sample-script.png Sample Alerting Script

Das Script oben schickt Benachrichtigungen nur für kritische Alarme und startet den entsprechende Knoten, aber nur für Windows Server.

Event Log Views

Ausstehende Alarme

Diese separate Ansicht zeigt nur aktuelle Warnungen, anstatt Administratoren zu zwingen, alle Ereignisse zu durchsuchen. Ereignisprotokoll-Darstellungen werden mit den Ansichten synchronisiert. Dies bedeutet, dass, wenn Sie auf eine bestimmte Ansicht wie einen Standort oder eine Knotengruppe (d.h. Server) klicken, werden automatisch die Ereignisse passend für diese Ansicht angezeigt.

Zusammenfassung

Die Übersichtsansicht zeigt Alarmstatistiken für eine bestimmte Ansicht. Die Statistiken werden durch Überwachung-Kategorie und auch durch benutzerdefinierte Ansichten gruppiert. Dies gibt Ihnen einen schnellen Überblick über die Arten von Alarmen, die in einem bestimmten Zeitbereich eingetreten sind.

@@event-summary.png Event Summary for Last 24h

Benutzerdefinierte Ereignisprotokoll-Ansichten

NetCrunch bietet viele vordefinierte Ereignisprotokoll-Ansichten an und ermöglicht es Ihnen, benutzerdefinierte Ansichten mit einem intuitiven Query Builder zu erstellen. Ansichten können gespeichert und für jede Knotengruppe im Atlas verwendet werden.

@@custom-view.png Query Builder and Date Range Selection

Ereignisdetails

Für jedes Ereignis in dem Ereignisprotokoll bietet NetCrunch eine detaillierte Ansicht an, die alle Alarmdaten und Parameter beinhaltet. Dieses Fenster zeigt alle ausgeführten Aktionen und den Grund der Schließung an.

Wenn die Alarme durch einem Leistungsindikator ausgelöst wurden, wird ein Diagramm mit den Werten zum Zeitpunkt des Alarms angezeigt.

@@event-details.png Event Details