告警相关性分析的规则有:告警压缩、告警屏蔽、告警抑制、告警时序分析等。
(1) 相同事件相关法:相同事件指来自同一告警源(本系统中限定为同一IP地址)的相同类型的告警。其相关性处理方法即是将相同事件压缩为一条告警,并累计告警次数,在最后的告警客户端显示出来。
(2) (成对)相反事件相关法:相反事件指来自同一告警源的两个告警信息,一个告警说明该位置上有某种类型的故障,另一个告警说明该故障已经恢复,那么这两个告警即为相反事件。其相关性处理方法即是在相应时间窗口内将互为相反事件的告警都屏蔽掉。
(3) 同源事件法:同源事件指来自同一告警设备,但不同告警类型的多个信息。这种情况下往往有一条告警为根源告警,其它告警为衍生告警。其相关性处理方法既是保留根源告警,删除衍生告警。
(4) 拓扑关系事件法:拓扑关系事件指来自不同且具有拓扑连接关系的告警源,告警类型相同或不同的多个信息。这种情况下同上面的同源事件处理方法一样,只是处理时考虑了网络拓扑关系。
具体的告警相关性分析方法还有很多,比如涉及到告警时序关系的逻辑规则就比较复杂了。
(1) 相同事件相关法:相同事件指来自同一告警源(本系统中限定为同一IP地址)的相同类型的告警。其相关性处理方法即是将相同事件压缩为一条告警,并累计告警次数,在最后的告警客户端显示出来。
(2) (成对)相反事件相关法:相反事件指来自同一告警源的两个告警信息,一个告警说明该位置上有某种类型的故障,另一个告警说明该故障已经恢复,那么这两个告警即为相反事件。其相关性处理方法即是在相应时间窗口内将互为相反事件的告警都屏蔽掉。
(3) 同源事件法:同源事件指来自同一告警设备,但不同告警类型的多个信息。这种情况下往往有一条告警为根源告警,其它告警为衍生告警。其相关性处理方法既是保留根源告警,删除衍生告警。
(4) 拓扑关系事件法:拓扑关系事件指来自不同且具有拓扑连接关系的告警源,告警类型相同或不同的多个信息。这种情况下同上面的同源事件处理方法一样,只是处理时考虑了网络拓扑关系。
具体的告警相关性分析方法还有很多,比如涉及到告警时序关系的逻辑规则就比较复杂了。