DE69936152T2 - System und verfahren zur dynamischen korrelation von ereignissen - Google Patents

System und verfahren zur dynamischen korrelation von ereignissen Download PDF

Info

Publication number
DE69936152T2
DE69936152T2 DE69936152T DE69936152T DE69936152T2 DE 69936152 T2 DE69936152 T2 DE 69936152T2 DE 69936152 T DE69936152 T DE 69936152T DE 69936152 T DE69936152 T DE 69936152T DE 69936152 T2 DE69936152 T2 DE 69936152T2
Authority
DE
Germany
Prior art keywords
event
rule
alarm
rules
events
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69936152T
Other languages
English (en)
Other versions
DE69936152D1 (de
Inventor
William N. Newtown Square POHLMANN
Kenneth D. Bellevue MATSON
Paul Sudbury CANTRELL
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CA Inc
Original Assignee
Computer Associates Think Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Associates Think Inc filed Critical Computer Associates Think Inc
Publication of DE69936152D1 publication Critical patent/DE69936152D1/de
Application granted granted Critical
Publication of DE69936152T2 publication Critical patent/DE69936152T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99944Object-oriented database structure
    • Y10S707/99945Object-oriented database structure processing
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99948Application of database or data structure, e.g. distributed, multimedia, or image

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Holo Graphy (AREA)
  • Debugging And Monitoring (AREA)
  • Multi Processors (AREA)
  • Radar Systems Or Details Thereof (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft das Gebiet von Ereignisverwaltungssystemen und insbesondere die dynamische Korrelation von Ereignissen.
  • HINTERGRUNDINFORMATION
  • Die Informationstechnologie (IT) hat sich aus Nur-Großrechensystemen zu komplexen, stark verteilten Computersystemen entwickelt, die sich durch Netze über Arbeitsplätze und Abteilungen erstrecken. Diese verteilten Rechenumgebungen stellen Vorteile bereit, zu denen die Flexibilität bei der Auswahl jeder beliebigen Anzahl von Plattformen, Domänen, Werkzeugen und Netzkonfigurationen gehört.
  • US 5,787,409 beschreibt ein Überwachungssystem zum Überwachen eines verteilten Systems von einem Systemadministrator durch eine Benutzerschnittstelle. US 5,063,523 beschreibt ein Datenkommunikationsnetz-Verwaltungssystem, das einem Benutzer ermöglicht, Regeln zu erstellen, die ausgehend von Netzobjekten bezüglich eines Musters mit Attributen ankommender Ereignisse wie Alarmen übereinstimmen. WO/99/13427 beschreibt ein System und Verfahren zum Erkennen und Behandeln von Betrug.
  • Verteilte Rechenumgebungen können jedoch komplex sein. Ferner kann ein Mangel an Kompatibilität und Integration zwischen Softwarewerkzeugen und Plattformen bestehen. Zum Beispiel richten sich herkömmliche Point-Products (zum Beispiel das Produkt Platinum DBVision, das von Platinum technology, inc., Oakbrook Terrace, Illinois, hergestellt wird) im Allgemeinen an eine spezifische Funktion oder einen spezifischen Fachbereich wie eine Lösung zur Datenbanküberwachung und -verwaltung, Aufgabenplanung oder Verwaltung von Datenbankneuorganisationen. Jedes Point-Product stellt eine spezifische Fähigkeit bereit und jedes weist auch eine eigene Schnittstelle auf. Andererseits stellt die Benutzung einer Rahmentechnologie eine integrierte Lösung bereit, wenngleich die Werkzeugfunktionalität einen bedeutenden Verlust erleidet. Ferner sind zur Verwaltung der gegenwärtigen Unternehmensumgebung unter Verwendung entweder herkömmlicher Point-Products oder einer Rahmentechnologie viele Ressourcen und viel Geld von IT-Organisationen erforderlich.
  • Dementsprechend besteht ein Bedarf an einem integrierten System zum Bereitstellen von Werkzeugen, die eine kompatible Schnittstelle benutzen, ohne die Werkzeugfunktionalität bedeutend einzuschränken.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Gemäß der vorliegenden Erfindung werden ein Ereignisverwaltungssystem und ein Verfahren zur Verwaltung eines Computersystems gemäß den Ansprüchen bereitgestellt.
  • Folglich wird ein verbessertes integriertes System zum Überwachen von Ereignissen bereitgestellt, die in Point-Products durch ein gemeinsames Ereignisverwaltungssystem eintreten.
  • Vorteilhaft hat die beschriebene und beanspruchte Anordnung die Fähigkeit zur dynamischen Korrelation von Ereignissen über Knoten eines Unternehmens.
  • Vorzugsweise stellt das System und Verfahren eine dynamische Ausführung einer geänderten Regel und/oder einer neu hinzugefügten Regel zur Ereigniskorrelation bereit.
  • In ihrer bevorzugten Ausführungsform stellt die vorliegende Erfindung ein Ereignisverwaltungssystem bereit, das einen Ereignisverwalter und einen Alarmregelspeicher und Ereigniskorrelator und eine Antwortmaschine aufweist. Der Ereig nisverwalter empfängt und verteilt Ereignisinformation, die von einem Ereignisverwalter basierend auf Alarmregeln bereitgestellt wird, die in einem Alarmregelspeicher gespeichert sind. Die Antwortmaschine führt ein Antwortregelwerk basierend auf der Korrelation von Ereignissen von dem Ereigniskorrelator aus.
  • Ein bevorzugtes Merkmal stellt ein Verfahren zum dynamischen Ausführen einer modifizierten Regel oder einer neuen Regel zur Ereigniskorrelation bereit. Das bevorzugte Verfahren weist ferner das Vergleichen eines ersten Regelsatzes mit einem zweiten Regelsatz auf, um Modifikationen, Hinzufügungen oder Löschungen von Regeln zu identifizieren und alle entsprechenden Regeln, die modifiziert oder hinzugefügt worden sind, dynamisch auszuführen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt ein Ausführungsbeispiel eines Unternehmens der vorliegenden Erfindung, das mehrere Knoten aufweist.
  • 2 zeigt ein Ausführungsbeispiel einer Folge integrierter Point-Products der vorliegenden Erfindung.
  • 3 zeigt ein Ausführungsbeispiel eines Blockdiagramms eines Ereignisverwaltungssystems der vorliegenden Erfindung.
  • 4 zeigt ein Ausführungsbeispiel von Ereignisinformationen, die zwischen mehreren Knoten des Ereignisverwaltungssystems der vorliegenden Erfindung übermittelt werden.
  • 5 zeigt ein Ausführungsbeispiel eines Flussdiagramms einer dynamischen Ausführung einer neu hinzugefügten oder geänderten Regel zur Ereigniskorrelation gemäß der vorliegenden Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Das Ereignisverwaltungssystem der vorliegenden Erfindung verwaltet ein Unternehmen (zum Beispiel ein Computernetz wie ein lokales Netz (LAN) oder ein Fernnetz (WAN)), korreliert Ereignisinformation, die in dem Unternehmen auftritt, und ergreift korrigierende Maßnahmen basierend auf vorbestimmten Antwortregelwerken. Das Ereignisverwaltungssystem empfängt zum Beispiel Ereignisnachrichten von kompatiblen Point-Products innerhalb des Unternehmens. Wie in 1 dargestellt, kann das Unternehmen 100 mehrere Knoten 110, 120, 130 aufweisen, die zum Beispiel durch ein Netz (nicht dargestellt) verbunden sein können. Ein Knoten ist zum Beispiel ein physikalisches Gehäuse wie ein Personalcomputer, Server usw., der ein Betriebssystem betreibt. In einer beispielhaften Form der vorliegenden Erfindung kann ein Knoten ein Personalcomputer mit einem darauf installierten kompatiblen Point-Product sein. In einem Ausführungsbeispiel der vorliegenden Erfindung verwaltet das Ereignisverwaltungssystem 140 Ereignisse auf den Knoten 110, 120, 130, bei denen die Ereignisse erzeugt werden, wobei die Datenbewegung auf dem Netz minimiert wird und Aktionen wie Auswertung, Berichten und automatische Korrektur von Daten in der Nähe der Quelle gehalten werden.
  • In einer beispielhaften Form der vorliegenden Erfindung, wie in 2 dargestellt, kann das Ereignisverwaltungssystem 270 in einer Folge 200 integrierter Werkzeuge enthalten sein, einschließlich kompatibler Point-Products, die zum Beispiel zum Verwalten von Anwendungen, Datenbanken, Arbeitsplätzen, Netzen und Systemen benutzt werden. Die Werkzeuge 230, 240, 250, 260 können einen Satz gemeinsamer Dienste 210 benutzen, um Daten gemeinsam zu benutzen, die mit Ereignissen in Beziehung stehen. Ein Direktor 220 ist zum Beispiel eine gemeinsam benutzte, grafische Benutzerschnittstelle (GUI), die in einem herkömmlichen Server computer für kompatible Point-Products 230, 240, 250, 260 läuft. In einem Ausführungsbeispiel der vorliegenden Erfindung läuft der Direktor 220 unter Windows NT und Windows 95 und arbeitet als eine einzige Konsole, die es Benutzern ermöglicht, alle Ressourcen, einschließlich kompatibler Point-Products 230, 240, 250, 260 in dem Unternehmen zu sehen und damit zu interagieren.
  • Die primäre verwaltbare Informationseinheit, die von dem Ereignisverwaltungssystem der vorliegenden Erfindung benutzt wird, ist eine strukturierte Nachricht, die ein Ereignis genannt wird. Ein Ereignis steht für Information über ein bestimmtes bedeutendes Vorkommnis von oder bezüglich einer Ressource in dem Unternehmen. Ereignisse werden von kompatiblen Point-Products und Ereignisverwaltern in dem Ereignisverwaltungssystem gesendet und empfangen. Ereignisse sind zum Beispiel die grundlegenden Bausteine der Echtzeit-Informationsverarbeitung, die zum Verwalten des Unternehmens benutzt wird. Ereignisse definieren das fundamentale Element von veröffentlichbarer, teilbarer Information und das Format, in dem die Ereignisse verwaltet und übertragen werden sollen. Zur Struktur eines Ereignisses gehören zum Beispiel vordefinierte Felder für die grundlegende Information, die für jede Ereignisaufzeichnung notwendig sind. Die vorbestimmten Felder fallen in zwei Kategorien: identifizierende Felder und nicht-identifizierende Felder. Identifizierende Felder sind Felder, die zusammen einen eindeutigen Schlüssel für das Ereignis bilden, der es von einem anderen Ereignis unterscheidet. Nicht-identifizierende Felder sind Felder, die zusätzliche Information über ein Ereignis hinzufügen, jedoch nicht an dem Schlüssel des Ereignisses teilnehmen. Das Ereignisverwaltungssystem der vorliegenden Erfindung ermöglicht, dass die Ereignisstruktur von einem Benutzer durch dynamisches Hinzufügen von Schlüsselwertpaaren und somit eindeutiges Definieren der jeweiligen Ereignisstruktur erweitert wird. Dementsprechend befähigt die Hinzufügung von Schlüsselwertpaaren zu einer Ereignisstruktur ein Point-Product dazu, das eindeutig definierte Ereignis zu veröffentlichen, das anderenfalls nicht veröffentlicht worden wäre, da es von dem vorbestimmten Feldern des Ereignisses nicht eindeutig definiert worden wäre.
  • Ein Ausführungsbeispiel einer Ereignisstruktur gemäß einer Ausführungsform der vorliegenden Erfindung wird nachstehend zum Beispiel in der C-Sprache definiert.
  • Figure 00060001
  • Figure 00070001
  • Die identifizierenden Felder des beispielhaften Ereignisses sind Knoten, Name, Produkt, Instanz, Typ, Bedingungszeit, wenn der Typ nicht diskret ist, Ereigniszeit, wenn der Typ diskret ist, wobei alle Schlüsselwertpaare die Inhalte der Schlüsselfeldanordnung und Wertefeldanordnung (zum Beispiel mit dem Feld NumKeys, einschließlich einer Zahl, die die Anzahl von Schlüsselwertpaaren in ihren jeweiligen Feldanordnungen angibt) aufweisen. Alle anderen vordefinierten Felder sind nicht-identifizierende Felder.
  • Die Ereignisse können in mehrere Typen kategorisiert werden, einschließlich zum Beispiel diskrete Ereignisse, Bedingungen und Alarme. Diskrete Ereignisses sind Ereignisse, die anzeigen, dass etwas zu einem bestimmten Zeitpunkt eingetreten ist, und sind vollkommen unabhängig. Der Eintritt für ein diskretes Ereignis hat keinen Zustand und wird nicht aktualisiert. Ein fehlgeschlagener Anmeldeversuch kann zum Beispiel die Erzeugung eines diskreten Ereignisses verursachen. Bedingungen sind Ereignisse, die den Zustand von etwas anzeigen, das über einen Zeitraum andauert und Attribute aufweisen kann, die aktualisiert werden. Die Ereignisse, die von einem Produkt angegeben werden, sind Eigentum dieses Produkts. Im Allgemeinen kann nur das jeweilige Point-Product die Bedingungsereignisse, die bei dem Point-Product erzeugt werden, aktualisieren oder löschen. Die Inhalte von diskreten Ereignissen und Bedingungsereignissen repräsentieren echte Information über das Unternehmen, die nicht ohne eine Änderung des Vorkommnisses, das das Ereignis verursacht, geändert werden kann. Ein Alarm ist zum Beispiel eine Interpretation anderer Ereignisse, die auf einem Regelwerk basieren, das von einem Benutzer konfiguriert werden kann. Demgemäss könnte der Benutzer einen Alarm jederzeit löschen, ohne die Bedingung aufzuheben, die ihn verursacht hat. In ähnlicher Weise kann der Alarm über das Löschen eines Ereignisses, auf dem der Alarm basiert, hinaus andauern.
  • Wie in 3 dargestellt, weist ein Ausführungsbeispiel eines Ereignisverwaltungssystems 300 der vorliegenden Erfindung einen Ereignisverwalter 310, ein Ereignisarchiv 320, einen Ereigniskorrelator 330, einen Alarmregelspeicher 340 und eine Antwortmaschine 350 auf. In einer beispielhaften Form der vorliegenden Erfindung sind ein Ereignisverwalter 310, ein Ereignisarchiv 320, ein Ereigniskorrelator 330 und eine Antwortmaschine 350 auf allen Knoten des Unternehmens enthalten und der Alarmregelspeicher 340 ist auf einem zentralen Knoten enthalten, der ermöglicht, dass Ereignisse lokal gespeichert und verwaltet werden.
  • In einer beispielhaften Form der vorliegenden Erfindung kann ein Ereignisverwaltungssystem zum Beispiel Ereignisnachrichten von Point-Products empfangen, zum Beispiel in einem Unternehmen. Die Ereignisse werden auf einem Knoten des Unternehmens verwaltet, bei dem die Ereignisse von einem Ereignisverwalter 310 empfangen werden, der sich auf dem entsprechenden Knoten befindet. Der Ereignisverwalter 310 kann zum Beispiel alle Ereignisse empfangen, die Zustände von vorher gesendeten Ereignissen verwalten, eine Teilnahmeliste führen und Ereignisse an die geeigneten Teilnehmer leiten. In einer beispielhaften Form der vorliegenden Erfindung können die Ereignisse und ihr Zustand und die Teilnahmeliste lokal gespeichert werden.
  • Wie in 4 dargestellt, empfangen der Ereignisverwalter 402 von Knoten a 401 und der Ereignisverwalter 411 von Knoten b 410 auch Ereignisinformation von dem Ereigniskorrelator 413 von Knoten b 410. Der Ereignisverwalter 411 von Knoten b 410 stellt auch dem Ereigniskorrelator 413 auf Knoten b Ereignisse bereit. Der Ereignisverwalter 411 empfängt auch Ereignisinformation von dem Point-Product 415, bei dem Ereignisse tatsächlich eintreten. Der Ereignisverwalter 402, 411 verwaltet zum Beispiel die Ereignisse und ihren zugehörigen Zustand und eine Liste von Teilnahmen. Jeder Ereignisverwalter kann einen Datenspeicher im lokalen Speicher, zum Beispiel eine Wandtafel aufweisen, auf der zustandsorientierte Ereignisse gespeichert sind. Die Wandtafel kann zur Wiederherstellung der Information über Erzeugungen (Prozessaufruf des Er eignisverwalters) dauerhaft in einem dateigestützten Speicher aufbewahrt werden. Die Clients, die an Ereignissen teilnehmen, sind für die erneute Erstellung der jeweiligen Teilnahmen über neue Aufrufe des Ereignisverwalters verantwortlich. Dementsprechend können die Teilnahmen im Speicher verwaltet werden. Das lokale Ereignisarchiv wird für alle Ereignisse verwaltet, die von dem Ereignisverwalter empfangen werden. Das Ereignisverwaltungssystem der vorliegenden Erfindung kann auch Ereignisse von einer Vielzahl von Knoten korrelieren. In einer beispielhaften Form der vorliegenden Erfindung stellt das Ereignisverwaltungssystem Ansichten von Ereignissen bereit, die mit einzelnen Verwaltungsstationen oder in Ansichten/Kategorien konsolidiert sind, die Knotengrenzen überschreiten.
  • Das Ereignisverwaltungssystem der vorliegenden Erfindung ist strukturiert, um durch zum Beispiel eine Ereignisteilnahme ein herausragendes Interesse an Gruppen von Ereignissen durch Kriterien abzufragen oder auszudrücken, die kein Knoten sind. Die Ereignisteilnahme ermöglicht die Spezifizierung von Kriterien bezüglich der Inhalte der Felder des Ereignisses. Die Bestimmung der betreffenden Ereignisse auf einen bestimmten Prozess kann analogisiert werden, zum Beispiel auf das Schreiben einer Datenbankabfrage, die Aufzeichnungen anfordert, die mit Kriterien über verschiedene Felder der Aufzeichnung übereinstimmen. Die Anfrage der vorliegenden Erfindung unterscheidet sich von einer normalen Datenbankabfrage insofern, als sie nicht nur eine Anfrage für bereits existierende Daten ist, sondern eine fortlaufende Anfrage für eine Sammlung von Ereignissen, die noch eintreten oder existieren müssen.
  • Wenn eine Teilnahme für ein Ereignis wie zum Beispiel ein Ereignis, das bei einem Point-Product 415 eintritt, ausgeführt wird, wird eine Teilnahmeanfrage an den Ereignisverwalter 411 auf Knoten b 410 gesendet. Der Ereignisverwalter 411 empfängt die Anfrage und fügt diese Anfrage zu seiner Liste ausstehender Anfragen hinzu, die zum Beispiel im Speicher gespeichert werden können. Der Ereignisverwalter 411 überprüft ausstehende Ereignisse, die vorher zum Beispiel in einer Wandtafel gespeichert wurden, um zu sehen, ob sie mit den Anfragekriterien übereinstimmen. Jedes übereinstimmende Ereignis wird an den Anfrager, zum Beispiel den Teilnehmer des Ereignisses weitergeleitet, zum Beispiel veröffentlicht. Sämtliche neuen Ereignisse, die empfangen werden und mit den Teilnahmekriterien übereinstimmen, werden auch weitergeleitet. Dies kann solange fortgesetzt werden, bis die Teilnahme annulliert wird.
  • In einer beispielhaften Form der vorliegenden Erfindung wird einer Teilnahme bei ihrer Erstellung eine eindeutige ID zugewiesen. Die eindeutige ID und eine Datengruppe, aus der diese Anforderung kam, definieren die Teilnahme eindeutig. Eine Teilnahme wird durch Rufen einer API mit einer zurückgesendeten Anfragehandhabung von der ursprünglichen Teilnahme annulliert. Hieraus folgt das Senden einer Annullierungsnachricht an den Ereignisverwalter mit der jeweiligen Anfrage-ID. Der Ereignisverwalter kann dann die Annullierungsanfrage mit der ursprünglichen Teilnahme in Übereinstimmung bringen und sie aus einer Verarbeitungswarteschlange des Ereignisverwalters entfernen.
  • Alle Ereignisse, die auf einem Knoten veröffentlicht werden, werden von dem Ereignisverwalter des Knotens empfangen. Der Ereignisverwalter empfängt und verwaltet auch alle Anfragen, die durch Prozesse von seinem Knoten und anderen Knoten gesendet wurden. Bei Empfang eines Ereignisses weist der Ereignisverwalter auch eine Ereignis-ID zu. Der Ereignisverwalter bestimmt, ob das Ereignis eine Bedingung ist, und falls ja, überprüft der Ereignisverwalter zum Beispiel eine Wandtafel, um zu bestimmen, ob das Ereignis mit einer existierenden Bedingung übereinstimmt. Falls ja, wird dem Bedingungsereignis eine Bedingungs-ID der existierenden Bedingung zugewiesen und als eine Aktualisierung auf die existierende Bedingung angewendet. Wenn ferner die Archivierung aktiviert wird, wird das Ereignis archiviert. In einem Ausführungsbeispiel der vorliegenden Erfindung kann das Archivieren zum Beispiel das Speichern des Ereignisses in einer Datenbank wie einem Einfachdateiarchiv einschließen. Eine getrennte Datei kann für jeden Kalendertag benutzt werden. Ereignisse können in das Archiv für den Tag des Zeitstempels in dem Ereignis als bezüglich des Zeilenvorschubs begrenzte Aufzeichnungen in der Reihenfolge geschrieben werden, in der sie empfangen werden. Der Ereignisverwalter überprüft auch alle ausstehenden Teilnahmeanfragen. Wenn im Hinblick auf ein Ereignis, das keine Bedingungsaktualisierung ist, das empfangene Ereignis mit der Anfrage übereinstimmt, leitet der Ereignisverwalter das Ereignis an den Anforderer weiter. Im Falle einer Aktualisierung einer Bedingung wird das aktualisierte Ereignis mit der Anfrage in Übereinstimmung gebracht. Dementsprechend wird das aktualisierte Ereignis von dem Ereignisverwalter an den Anforderer weitergeleitet.
  • Ereignisfilter beschreiben identifizierende Kriterien für die betreffenden Ereignisse und ermöglichen eine Spezifikation verschiedener Vergleichsformen, die für jedes der Felder eines Ereignisses spezifiziert werden können, das Schlüsselwertpaare der erweiterten Ereignisstruktur aufweist. Ein Ereignisfilter ist zum Beispiel ein boolescher Ausdruck, der aus untergeordneten Ausdrücken gebildet ist, die ein Feld eines Ereignisses mit einem Wert vergleichen, der von einem Benutzer spezifiziert wird. Ereignisfilter sind zum Beispiel dem "WHERE"-Satz in der strukturierten Abfragesprache (Structured Quert Language = SQL) ähnlich. Der grundlegende untergeordnete Ausdruck eines Ereignisfilters ist zum Beispiel ein Satz, der ein Feld eines Ereignisses mit einem Wert, zum Beispiel node=ptisun20 vergleicht. Der untergeordnete Ausdruck node=ptisun20 bedeutet, dass das Knotenfeld des Ereignisses mit der Kette „ptisun20” exakt übereinstimmen muss. Irgendeines der Felder der Ereignisstruktur kann wie das Knotenfeld in dem Beispiel benutzt werden, mit Ausnahme der Schlüsselfeldanordnung und Wertefeldanordnung, die eine spezielle Syntax erfordern. Wenn zum Beispiel eines der hinzugefügten Schlüsselwertpaare Folgendes wäre:
    key value
    FileSystem /usr,
    wäre ein exakt übereinstimmender Filter für dieses Schlüsselwertpaar
    keyfield.FileSystem="/usr". Ferner könnte die Existenz eines Schlüssels mit jedem beliebigen Wert geprüft werden, indem geprüft wird, dass er nicht mit einem Null-Wert übereinstimmt, zum Beispiel keyfield.FileSystem !="☐. Die Ereignisfilter können an einem beliebigen Platz gespeichert werden, an dem eine Textkette gespeichert werden könnte, zum Beispiel in einer Konfigurationsdatei wie einer Einfachtextdatei, in einer Datenbank, im Speicher, als C-Quellencode (zum Beispiel in einem Programm hartcodiert) usw.
  • Das Filtern ist auch bezüglich der Werte von Schlüsselwertpaaren des Ereignisses verfügbar. Wie in dem vorherigen Beispiel kann es einen Schlüssel „FileSystem" mit einem zugehörigen Wert geben, der der Name eines spezifischen Dateisystems ist. Die gewünschten Ereignisse können nur diejenigen für ein bestimmtes Dateisystem, zum Beispiel /usr sein. Der Filtermechanismus für entsprechende Werte eines Schlüssels spezifiziert den Schlüssel und prüft den zugehörigen Wert. Zur Unterscheidung von Schlüsseln aus anderen Feldern des Ereignisses wird eine spezielle Syntax benutzt, die einen anderen Namensraum für die Schlüssel aus den vordefinierten Feldern des Ereignisses ermöglicht. Die Syntax lautet "keyfield.[name]". Eine beispielhafte Prüfung für den Wert /usr eines Schlüsselwertpaares wäre zum Beispiel keyfield.FileSystem= /usr. In einer beispielhaften Form der vorliegenden Erfindung kann der Ereignisfilter Vergleichsoperatoren wie = und eine vollständige Übereinstimmung des regulären Ausdrucks aufweisen, die mit dem Operator „like" angegeben wird. Ein Filter könnte zum Beispiel node=ptisun05 sein. Eine Filterübereinstimmung aller Knotenwerte, die einem ptisun[#]-Muster folgen, wäre node like "ptisun[0–9]+". Im Folgenden wird eine beispielhafte Liste von Ereignisfilter-Vergleichsoperatoren bereitgestellt: >= (größer als oder gleich), <= (kleiner als oder gleich), > (größer als), < (kleiner als), = (gleich), like (stimmt mit einem regulären Ausdruck überein), likeci (fallunabhängige Kettenübereinstimmung) und != (nicht gleich).
  • In einer beispielhaften Form der vorliegenden Erfindung können die folgenden Token, Produktionsregeln und eine Ereignisfilterdefinition, die mittels noch eines anderen Kompilierers compiler (yacc) implementiert wird, benutzt werden.
  • Figure 00140001
  • Figure 00150001
  • In einer beispielhaften Form der vorliegenden Erfindung kann der Ereignisverwalter 411 als ein Daemon (zum Beispiel ein Agentenprogramm, das kontinuierlich auf einem UNIX-Server betrieben wird und den Client-Systemen auf dem Netz Ressourcen bereitstellt) umgesetzt sein. Bei Empfang eines Ereignisses bestimmt der Ereignisverwalter 411 die Disposition des Ereignisses, einschließlich dessen, ob er das Ereignis bereits empfangen hat und ob sich der Ereigniszustand geändert hat. Der Ereignisverwalter 411 schreibt das Ereignis auch in ein lokales Ereignisarchiv 412 und leitet das Ereignis an alle Clients, die an dem Ereignisinhalt teilnehmen. Zum Beispiel kann der Ereignisverwalter 411 dem Ereigniskorrelator 413 und dem Ereignisverwalter auf einem Knoten 402 Ereignisinformation bereitstellen. Das Ereignisarchiv 412 kann einen Ereignisarchiv-Dienstprozessor aufweisen. Der Dienstprozessor des Ereignisarchivs 412 liest Ereignisse aus dem Ereignisarchiv. Teilnehmer können jede beliebige Instanz eines Ereigniskorrelators 413, die eine Alarmregel aufweist, die an dem Ereignis teilnimmt, und zum Beispiel einen Direktor aufweisen, der ein Ressourcenobjekt oder ein Produkt enthält, das an Aktualisierungsereignissen über die Inhalte in einem Zentralspeicher wie einem Datenaustauschdienst (DEX) teilnimmt.
  • Der Ereigniskorrelator 413 kann zum Beispiel einen Ereigniskorrelator-Dienstprozessor aufweisen. Der Ereigniskorrelator 413 verwendet ein Benutzerregelwerk, das in einer Korrelationsregel spezifiziert ist. Ein Alarm ist ein Ereignistyp, der Teilnehmer über eine bedeutende Bedingung oder ein bedeutendes Vorkommnis informiert. Die Bestimmung eines Alarms kann die Gegenwart eines einzigen Ereignisses, die Gegenwart eines bestimmten existierenden Zustands beziehungsweise von Zuständen, wenn ein anderes Ereignis eintritt, oder das erneute Eintreten eines bestimmten Ereignisses innerhalb eines festen Zeitfensters aufweisen. Ferner kann ein Alarm eine Kombination des erneuten Eintretens eines bestimmten Ereignisses innerhalb eines festen Zeitfensters sein, wenn ein bestimmter Zustand oder bestimmte Zustände vorliegen.
  • Die Ereignisse, die bestimmen, ob ein Alarm eintritt, können auf Ereignissen auf dem gleichen Knoten wie der Ereigniskorrelator 413 beruhen oder aus einem oder mehreren anderen Knoten 401, 410 kommen. Ein Alarm kann auch mit einem automatischen Antwortregelwerk verbunden sein, das einer Antwortmaschine 414 ermöglicht, jegliche automatische Mitteilung oder Korrektur des Alarms zu steuern. Der Ereigniskorrelator 413 kann zum Beispiel einen Alarm, eine modifizierte Version eines empfangenen Ereignisses oder ein vollkommen neues Ereignis, das mit einer anderen Alarmregel korreliert werden kann, erzeugen.
  • Ereignisse können durch eine Alarmregel korreliert werden. Die Grundlage einer Alarmregel ist die Bestimmung der Ereignisse, die analysiert werden sollen. Alarmregeln können erzeugt werden, um zu definieren, welches einzelne Ereignis oder welcher Satz von Ereignissen für ein bedeutendes Vorkommnis steht, auf das sie reagieren. Die Alarmregel kann eine Beschreibung und Logik aufweisen, die die Ereignisse beschreibt, die ein Vorkommnis und eine Definition der Antwort des Ereignisverwaltungssystems auf das Vorkommnis repräsentieren. Das Ergebnis der Korrelation ist die Erzeugung eines oder mehrerer Ereignisse. Eine Alarmregel kann zum Beispiel durch den Direktor 404 definiert werden.
  • Eine Alarmregel weist zum Beispiel einen eindeutigen Namen auf, der ermöglicht, dass auf die Regel in anderen Ausdrücken mit Hilfe des Namens Bezug genommen werden kann. Eine Alarmregel kann auch eine Liste von Knoten (zum Beispiel eine Verteilungsliste) aufweisen, auf der die Regel gestartet werden soll. Die Verteilungsliste für eine Regel kann zum Beispiel durch eine Liste der Knoten spezifiziert werden, die die Regel ausführen sollen, oder eine Abfrage, die die Knoten spezifiziert, die die Regel ausführen sollen. Die Abfrage kann zum Beispiel "alle" lauten, was jedem Knoten entspricht, der einen Ereigniskorrelator startet. Ferner kann eine Abfrage in einem Zentralspeicher wie dem DEX 405 laufen, um bestimmte Kriterien der Knoten in dem Unternehmen zu bestimmen, wie verfügbare Ereignisse. Eine Alarmregel weist auch eine Definition von Korrelationsfiltern auf.
  • Korrelationsfilter ähneln den Ereignisfiltern, die bei der Ereignisteilnahme benutzt werden, wie in den folgenden ebenfalls abhängigen Patentanmeldungen beschrieben ist: Bevollmächtigtenaktenzeichen 22074661/25529, eingereicht am 31. Dezember 1998 mit der Bezeichnung METHOD AND APPARATUS FOR A USER EXTENSIBLE EVENT STRUCTURE und Bevollmächtigtenaktenzeichen 22074661/25546, eingereicht am 31. Dezember 1998 mit der Bezeichnung METHOD AND APPARATUS FOR THE DYNAMIC FILTERING AND ROUTING OF EVENTS; und Platinum Provision Common Services Reference Guide, Version 1.08 (Oktober 1998, Platinum technology, inc.). Den Korrelationsfiltern kann jedoch ein Name zugewiesen werden und sie können Qualifikatoren aufweisen. Die Qualifikatoren können zum Beispiel benutzt werden, um eine Vielzahl von Ereignissen in einer einzigen Regel zu korrelieren. Die Qualifikatoren können auch anzeigen, dass der Filter nicht auf das gegenwärtig Eingabeereignis anwendbar ist. Die Alarmregel kann auch Logikprüffilter und Aktualisierungs/Sendeereignisse aufweisen, die auf den Ergebnissen der Prüfung basieren, zum Beispiel eine if/then/else-Logik, die eine Prüfung von booleschen Kombinationen der Filter und das Ausführen von Aktionen ermöglicht, die bewirken, dass Ereignisse erzeugt werden.
  • In einer beispielhaften Form der vorliegenden Erfindung benutzt die Alarmregel das folgende Format:
    Figure 00180001
  • In dem oben erwähnten beispielhaften Format folgt der Korrelationsfilterausdruck der "If"-Aussage und ist in Klammern eingeschlossen. Dies ist ein logischer Ausdruck, der einen oder mehrere Korrelationsfilternamen enthält, die durch boolesche Operatoren wie AND und OR verbunden sind. Ferner können zusätzliche Klammern enthalten sein, um die Auswertungsreihenfolge zu steuern. In dem oben erwähnten beispielhaften Format ist der Korrelationsereignisausdruck in einem einzigen Satz von geschwungenen Klammern eingeschlossen. Die geschwungene aufgehende und zugehende Klammer kann sich in getrennten Zeilen befinden oder jede Ereignisdefinition kann sich in einer getrennten Zeile befinden, die mit einem Semikolon endet. Der Korrelationsfilterausdruck definiert, welche Filter erfüllt sein müssen, damit die Korrelation ausgeführt werden kann. Wie ein Filter erfüllt wird (zum Beispiel als wahr bewertet wird), hängt von der Qualifizierung ab, die dem Filter zugewiesen wird. Für einen Standardfilter muss das gegenwärtige Eingabeereignis übereinstimmen. Für einen Zählfilter muss das gegenwärtige Ereignis einen Satz von Ereignissen vervollständigen, der in einem Zeitfenster für den zu erfüllenden Filter empfangen wird. Ferner ist ein conditionExists-Filter erfüllt, wenn in der Vergangenheit ein gegebenes Ereignis empfangen wurde, das anzeigt, dass eine bestimmte Bedingung noch immer existiert. Der Korrelationsfilterausdruck kann Kriterien hinsichtlich eines vergangenen und gegenwärtigen Ereignisses durch jede beliebige Kombination über einen booleschen Operator dieser einzelnen Filter spezifizieren, einschließlich der Negation davon (zum Beispiel die Bedingung ist gegenwärtig nicht vorhanden, die Zählung ist nicht vollendet worden oder das gegenwärtige Ereignis stimmt nicht überein).
  • Wenn zum Beispiel f1 ein standardgemäßer, unqualifizierter Filter ist, der für das gegenwärtige Ereignis gilt, zeigt der Ausdruck „if (f1)" an, dass das gegenwärtige Ereignis mit diesem Filter übereinstimmen muss, damit die Korrelation ausgeführt wird. Wenn dann ein zweiter standardgemäßer Filter f2 vorhanden wäre, könnten beide Filter mit dem Ausdruck „if (f1 or f2)" geprüft werden. Wenn das Eingabeereignis in diesem Ausdruck entweder mit f1 oder f2 übereinstimmt, wird die Korrelation ausgeführt. Der Korrelationsfilterausdruck kann auch verschachtelte Bedingungen wie einen logischen „if/else if"-Ausdruck in einem Format aufweisen, das folgendem ähnlich ist:
    Figure 00190001
  • Eine Alarmregel der vorliegenden Erfindung kann mit oder ohne Logik benutzt werden. In Abwesenheit einer Steuerlogik wird eine Aktionsaussage in der Regel ausgeführt, immer wenn ein Ereignis empfangen wird. Ein Ereignis wird empfangen, immer wenn ein Ereignis vorhanden ist, das mit jedem beliebigen der angegebenen Filter übereinstimmt. Die Regel kann in verschiedene Gruppen von Aktionen segmentiert werden, die auf einer Prüfung dahingehend beruhen, ob einer oder mehrere der angegebenen Filter in der Regel wahr ist, zum Beispiel durch Bilden eines booleschen Ausdrucks unter Verwendung der Namen der Filter und Prüfen seiner Wahrheit zu jedem beliebigen gegebenen Zeitpunkt. Wenn zum Beispiel drei Filter mit dem Namen A, B und C vorhanden sind, könnte eine Prüfung für (A und (B oder C)) ausgeführt werden. Dies würde bedeuten, dass der Ausdruck wahr ist, wenn Filter A wahr ist und Filter B oder C wahr ist. Diese Regel kann zum Beispiel wie folgt ausgedrückt werden.
    If (A and (B or C))
    SendModifedAlarm (–110);
    else
    SendModifiedAlarm (–1 0);
  • In diesem Beispiel werden basierend auf der Prüfung, welche Filter wahr sind, unterschiedliche Alarmstufen festgelegt.
  • In einer beispielhaften Form der vorliegenden Erfindung gibt es vier Aktionsaussagen SendEvent, SendModifiedInputEvent, SendModifiedAlarm und SendModifiedCondition, die in der Syntax der Ereigniskorrelationsregel unterstützt werden, die Ereignisse sendet. Die Aktionsaussage SendEvent beginnt mit einem neu erschaffenen Ereignis und muss jedes vorgeschriebene Feld für das Ereignis aufweisen, das als ein Argument geliefert wird, mit Ausnahme von Feldern, denen vorgegebene Werte wie Zeit, Knoten und Agentenknoten zugewiesen werden können. Jeder beliebige Ereignistyp kann mit dieser Aktion gesendet werden. Die Aktionsaussage SendModifiedInputEvent benutzt das Eingabeergebnis als eine Vorlage für das Ausgabeereignis, wobei nur Felder ersetzt werden, die als Argumente bezüglich SendModifiedInputEvent spezifiziert werden. Die Ereigniszeit wird auf die gegenwärtige Zeit aktualisiert, und wenn dies ein Problem für eine Bedingung oder einen Alarm (Bedingungen und Alarme erforderten, dass die Ereigniszeit > Bedingungszeit ist) verursacht, wird die Zeit zum Beispiel auf die Zeit des Eingabeereignisses (die bereits größer als die condition_time sein musste) plus einer Sekunde eingestellt. Die Aktionsaussage SendModifiedAlarm wird auf SendModifiedInputEvent gebildet. Der einzige Unterschied besteht darin, dass sie nur einen Alarm sendet, zum Beispiel eine Einstellung des Ereignistyps auf alarm_set erzwingt. Sie steuert auch die Erschaffung eines Alarms aus einem diskreten Ereignis, das keine Bedingungszeit aufweist, wobei die Bedingungszeit auf die gegenwärtige Zeit eingestellt wird. Die Aktionsaussage SendModifiedCondition ist die gleiche wie SendModifiedAlarm, außer dass der Typ auf condition_set eingestellt werden muss.
  • Die Qualifikatoren für einen Korrelationsfilter können zum Beispiel ConditionExists, Count und CountDiscrete aufweisen. Der Qualifikator ConditionExists zeigt an, dass der Filter auf Ereignisse angewendet werden sollte, die bereits zu dem Zeitpunkt empfangen worden sind, zu dem das gegenwärtige Ereignis empfangen wurde. Wenn ein vorheriges zustandsorientiertes Ereignis existiert, das mit dem spezifizierten Filter übereinstimmt, ist der Filterausdruck wahr. Anderenfalls ist er falsch. Der Qualifikator Count wird benutzt, um die Anzahl von Malen zu verfolgen, die ein übereinstimmendes Ereignis innerhalb eines spezifizierten Zeitraums eingetreten ist. Die Spezifikation lautet Zählung (Anzahl von Malen, Zeitintervall, Filter). Beim Initialisieren wird der Satz gelöscht, so dass die Zählung bei Empfang des nächsten übereinstimmenden Ereignisses null sein wird. Das Zeitfenster kann scrollen, wobei die ältesten übereinstimmenden Ereignisse von der ausstehenden Liste entfernt werden, da sie sich von dem zuletzt hinzugefügten Ereignis durch das angegebene Zeitintervall unterscheiden. Der Qualifikator CountDiscrete zählt diskrete Ereignisse. Er ist die Entsprechung von Count, wobei sein Filter zum Beispiel zu filter filter AND type=discrete modifiziert wird.
  • Ereignisse können aus jedem beliebigen Knoten abgerufen werden, bei dem die Alarmregel abläuft. In einer beispielhaften Form der vorliegenden Erfindung kann die Bestimmung, wo eine Regel ablaufen soll, von der Beschaffenheit der Regel abhängen. Wenn die Regel Ereignisse spezifiziert, die zum Beispiel nur auf einem lokalen Knoten eintreten, dann muss die Regel auf allen Knoten laufen, bei denen solch eine Korrelation gewünscht wird. Wenn die Regel zum Beispiel eine bestimmte Korrelationsform für ein Ereignis über die CPU-Benutzung einer Maschine ausführen soll und der Filter keinen Knoten bestimmt hat, dann empfängt der Ereigniskorrelator, der die Regel startet, nur Ereignisse über die CPU-Benutzung auf dem Knoten, bei dem die Teilnahme stattfindet. Dementsprechend können der Filter und die Regel generisch und auf jede Maschine anwendbar sein. Folglich sollte die Verteilungsliste für die Regel jeden Knoten aufweisen, auf dem die jeweilige Korrelation stattfindet.
  • Eine generische Regel ermöglicht auch, dass eine einzige Definition auf den gleichen Problemtyp auf jedem Host in dem Unternehmen anwendbar ist, wodurch die Anzahl von zu verwaltenden und konfigurierenden Regeln verringert wird. Eine generische Regel ermöglicht die Analyse und Korrektur des Problems, das dort zu lokalisieren ist, wo es auftritt, zum Beispiel auf jedem Knoten.
  • Die Alarmregel 406 kann einen Alarmregel-Dienstprozessor aufweisen, der Alarmregeln und Antwortregelwerke verwaltet, die in einer zentralen Speicherstelle wie dem DEX 405 gespeichert sind. In einer beispielhaften Form der vorliegenden Erfindung ist der DEX 405 eine zentrale Speicherstelle für wieder verwendbare Information, einschließlich Datenkonfiguration, Produktinformation, Ereignisinformation, Sicherheitsinformation und Regeln. Der DEX 405 kann ein verteilter, gemeinsamer Datenspeicher mit einer Vielzahl von Plattformen und Datenformaten, mit mehreren Datenspeichern, relationalen Daten, Datenstellen und Dateien sein.
  • Die Antwortmaschine 414 führt ein Antwortregelwerk aus. Die Antwortmaschine 414 weist mehrere Prozesse auf. Das Ant wortregelwerk ist zum Beispiel ein logischer Ausdruck, der eine Liste von Aktionen enthält, die durch logische Aussagen verbunden sind, und der durch einen Auslösealarm aufgerufen wird, der von dem Ereigniskorrelator 413 erzeugt wird. Eine Vielzahl von Aktionen kann in dem Antwortregelwerk definiert und ausgeführt werden. In einer beispielhaften Form der vorliegenden Erfindung kann die Vielzahl von Aktionen in einer aufgelisteten Sequenz oder mit hinzugefügter Logik vorliegen, um jede Aktion nach Empfang eines Antwortcodes einer anderen Aktion oder eines spezifischen Feldes, das in dem Alarm gesendet wird, abhängig zu machen. Das Antwortregelwerk kann durch Definieren eines Satzes von Aktionen und Erstellen eines Ausdrucks erzeugt werden, der eine oder mehrere dieser Aktionen in einer logischen Sequenz angibt. Die Aktionen können global sein und als eine Vielzahl von Antwortregelwerken bezeichnet werden. In einem Ausführungsbeispiel der vorliegenden Erfindung fügt die Antwortmaschine 414 bei Vollendung jedes Schritts auch Information über den Erfolg jeder Aktion zu dem Auslösealarm hinzu. Dies kann zum Beispiel durch Senden eines Aktualisierungsalarmereignisses erreicht werden, das das Ereignis mit der sequentiellen Zahl des gerade vollendeten Schritts, der Art des Schritts (zum Beispiel E-Mail/Seite) und in dem Ereignisarchiv mit dem Namen des Aktionsschritts aktualisiert. Auf diese Information kann durch einen Direktor zugegriffen werden.
  • In einer beispielhaften Form der vorliegenden Erfindung kann die Antwortmaschine 414 zum Beispiel einen ersten Prozess, einen zweiten Prozess und einen dritten Prozess aufweisen. Der erste Prozess nimmt an Ereignissen teil, die von einem Ereigniskorrelator 413 gesendet werden, der auf dem gleichen Knoten 410 wie die Antwortmaschine 414 läuft. Nach Empfang eines Alarms, der ein zugehöriges Antwortregelwerk aufweist, ruft der erste Prozess den zweiten Prozess auf, um das Regelwerk auszuführen. Der erste Prozess kann je nach den Einstellungen in Konfigurations dateien, die mit den entsprechenden Prozessen verbunden sind, eine Vielzahl von Instanzen des zweiten Prozesses aufrufen. Der zweite Prozess führt eine Aktion aus, die das Senden von Ereignissen erfordert, und ruft den dritten Prozess auf, um irgendwelche anderen Aktionen auszuführen. Der dritte Prozess der Antwortmaschine 414 kann auch eine Antwortregelwerkaktion ausführen, die einen Ruf an das Betriebssystem erfordert, wie das Senden einer E-Mail-Nachricht, das Aufrufen eines Scripts, das Senden einer Seite, das Schreiben einer Nachricht an eine Datei oder das Weiterleiten des Ereignisses als eine Programmunterbrechung des Simple Network Management Protocol (SNMP).
  • In einer beispielhaften Form der vorliegenden Erfindung können die folgenden Token, Produktionsregeln und Korrelationssprache, die mittels yacc angewendet wird, benutzt werden.
  • Figure 00240001
  • Figure 00250001
  • Figure 00260001
  • Das Ereignisverwaltungssystem der vorliegenden Erfindung stellt eine hierarchische Konsolidierung auf einer Teilnahmebasis bereit. Zum Beispiel hat ein Direktor 403 ba sierend auf der Teilnahme an den verschiedenen Knoten, die Ereignisinformation bereitstellen, eine konsolidierte Ansicht von Ereignissen in dem Unternehmen. Die Ereignisinformation kann als eine einzige, vereinigte Ansicht präsentiert werden, kann jedoch auf einer Vielzahl von Teilnahmen bezüglich verschiedener Ereignisquellen basieren. Die Konfiguration von Korrelationsregeln ermöglicht, dass ein Satz von Korrelationsregeln eine Korrelations- oder Konsolidierungshierarchie implementiert, indem der gleiche Teilnahmemechanismus innerhalb der Regeln benutzt wird, den der Direktor 403 benutzen kann, um Ereignisse aus einer Vielzahl von Quellen zu konsolidieren. Wenn sich eine Anwendung, die auf Knoten A abläuft, zum Beispiel auf Datenbanken auf Knoten B und Knoten C stützt, kann eine einzige Regel, die diese Anwendung überwacht, Ereignisse über die Anwendung auf Knoten A, die Fähigkeit zur Bewahrung der Verbindbarkeit mit Knoten B und C und den Status der Datenbanken auf Knoten B und C konsolidieren. Dies kann durch Konfigurieren der Filter in der Regel, um diese Quellen zu spezifizieren, erreicht werden.
  • Ferner kann die Konsolidierung aller Fehler von einem Knoten zu einem anderen Knoten mit geeigneten konfigurierten Korrelationsregeln in ähnlicher Weise ausgeführt werden. Zum Beispiel kann Knoten A durch die Benutzung einer Regel Probleme von Knoten B und C konsolidieren. Die Leistung des Ereigniskorrelators mit Bezug auf lokal erzeugte Ereignisse kann zum Beispiel eine Konsolidierung der Ereignisse des Knotens in Alarme sein. Gemäß einer Ausführungsform der vorliegenden Erfindung kann der Ereigniskorrelator auf Knoten A an den Alarmen teilnehmen, die auf Knoten B und C erzeugt werden. Dies bringt alle angegebenen Probleme effektiv zu Knoten A. Die angegebenen Probleme können dann als Alarme auf Knoten A basierend auf den Inhalten der Regel neu angegeben werden oder könnten in der Regel benutzt werden, um bestimmte Korrelationstypen bezüglich der Probleme zu bestimmen, die auf Knoten B, C und A berichtet werden. Das erneute Angeben von Problemen würde eine redundante lokale Kopie oder eine Teilnahme ermöglichen, die nur einen jeweiligen Knoten spezifiziert, um einem die Ansicht der Probleme zu ermöglichen, wobei alle drei Knoten umfasst werden.
  • Dementsprechend erfordert die hierarchische Konsolidierung, die von dem Ereignisverwaltungssystem der vorliegenden Erfindung bereitgestellt wird, keine zusätzliche Konfiguration außerhalb der Regel selbst. Es besteht kein Bedarf an der Beibehaltung der Beziehungen außerhalb der Beziehungen zwischen Regeln. Die Hierarchie kann auf einer Regelbasis effektiv variieren. Ein Knoten kann ein Konsolidierungspunkt für bestimmte Probleme sein, während ein anderer Knoten der Konsolidierungsknoten für einen anderen Satz sein kann, wobei diese beiden Knoten zur gegenseitigen Konsolidierung beitragen.
  • Das Ereignisverwaltungssystem der vorliegenden Erfindung kann dynamisch, zum Beispiel während der Ereigniskorrelator abläuft, bestimmen, ob eine Regel geändert, hinzugefügt oder gelöscht wurde. Die benutzerdefinierten Alarmregeln werden zum Beispiel in einem Alarmregelspeicher (ARS) 406 in einem zentralen Speicher in dem DEX 405 verwaltet. Das Bearbeiten oder Hinzufügen von Regeln kann über einen Direktor 403 ausgeführt werden. 5 stellt ein beispielhaftes Flussdiagramm zur dynamischen Ausführung von hinzugefügten oder modifizierten Regeln dar. Wie in 5 dargestellt, fragt der Direktor 403 in Schritt 510 den ARS 406 nach Regeln ab und schreibt jegliche Veränderungen zurück in den ARS 406. Der ARS 406 veröffentlicht ein Ereignis, immer wenn er die Regeln in dem ARS 406 aktualisiert. Der Ereigniskorrelator 413 auf jedem der Knoten nimmt an diesem Ereignis teil. Bei Empfang dieses Ereignisses kann jeder der Ereigniskorrelator 413 mit dem ARS 406 in Kontakt treten, um zu bestimmen, ob die Regeln, die sie ausführen, aktualisiert worden sind. Zum Beispiel kann das Ereignis, das von dem ARS 406 veröffentlicht wird, anzeigen, dass sich der Regelspeicher verändert hat.
  • In Schritt 530 tritt der entsprechende Ereigniskorrelator 413 mit dem ARS 406 in Kontakt und fordert seinen Regelsatz an. In Schritt 540 vergleicht der Ereigniskorrelator 413 dann seinen gegenwärtigen Satz von Regeln, den er ausführt, mit den Regeln, die von dem ARS 406 empfangen werden. In Schritt 550 bedürfen unveränderte Regeln keiner Maßnahme, neue Regeln müssen zu dem Regelsatz des entsprechenden Ereigniskorrelators hinzugefügt werden und Regeln, die aus dem ARS 406 gelöscht worden sind, müssen aus dem Regelsatz des jeweiligen Ereigniskorrelators entfernt werden. In Schritt 560 werden veränderte oder zu dem Regelsatz des jeweiligen Ereigniskorrelators hinzugefügte Regeln ausgeführt. Ferner kann der Regelsatz über eine Vielzahl von Korrelatoren verteilt sein. Dementsprechend kann eine Korrelation, die von einem bestimmten Knoten ausgeführt wird, an einen anderen Knoten umgeleitet werden, indem die Regelverteilungsliste geändert wird.
  • Eine Regel kann zu dem Ereignisverwaltungssystem gemäß einer Ausführungsform der vorliegenden Erfindung dynamisch hinzugefügt werden, indem eine Regel zu einem laufenden Ereigniskorrelator hinzugefügt wird, da jede Regel ihren eigenen Ereignisstrom verwaltet. Das Hinzufügen oder Entfernen einer Teilnahme einer Regel hat keinen Einfluss auf irgendeine andere Regel. Eine neue Regel kann dazu führen, dass der Ereigniskorrelator Ereignisse empfängt, die er vorher nicht empfangen hat. Diese Ereignisse ändern nichts daran, wie irgendeine andere Regel bewertet wird, da diese Regeln die neuen Ereignisse nicht sehen. In ähnlicher Weise führt das Löschen einer Regel dazu, dass der Ereigniskorrelator weniger Ereignisse als vorher empfängt. Die Tatsache, dass diese Ereignisse nicht empfangen werden, ändert jedoch nicht die Bewertung irgendeiner anderen Regel, die von dem Ereigniskorrelator ausgeführt wird. Da jede Regel einen unabhängigen Satz von Ereignissen spezifiziert, um ihren eigenen Ereignisstrom zu empfangen, sind Veränderungen an einer Regel isoliert und haben keinen Einfluss auf irgendeine andere Regel.
  • Die Regel müsste syntaktisch analysiert und die geeigneten Teilnahmen gebildet werden, so dass die Regel geeignete Ereignisse empfängt. Eine Regel kann aus dem Ereignisverwaltungssystem auch dynamisch gelöscht werden, indem die ausstehenden Teilnahmen für die Regel annulliert werden, die Speicherstrukturen, die beim Nachverfolgen des Zustands der Regel und ihres Bewertungsbaums benutzt werden, entfernt werden und Alarme, die die Regel erzeugte, entfernt werden. Eine Liste benutzerdefinierter Alarmregeln wird von dem Ereignisverwaltungssystem in einem Alarmregelspeicher verwaltet. Eine Liste von Alarmen, die laut Regel den Namen des Ereignisses aufweist, wird von dem Ereignisverwaltungssystem zum Beispiel in einer Wandtafel verwaltet.
  • Das Ereignisverwaltungssystem der vorliegenden Erfindung ermöglicht die Bestimmung eines Eingabeereignisses und einer Alarmregel, die zu dem jeweiligen Alarm führte. In einem Ausführungsbeispiel der vorliegenden Erfindung geht das Ereignisverwaltungssystem den jeweiligen Alarmen nach, die mit den jeweiligen Regeln verbunden sind. Die Beziehung eines Alarms zu seiner Ursache kann aus einer Analyse der Regel bestimmt werden. Zum Beispiel muss zwischen den Eingabeereignissen und dem Alarm eine n-zu-1-Abbildung ausgeführt werden, wobei n die Anzahl von Eingabeereignissen ist. Im einfachsten Fall stimmt ein einziges Eingabeereignis (n = 1) mit der Erzeugung eines Alarms überein. Demgemäß wird das Eingabeereignis, das den Alarm verursachte, ohne weiteres bestimmt, da nur ein Eingabeereignis mit dem Alarm verbunden ist.
  • Wenn Bedingungsfilter oder Zählfilter in Gebrauch sind, wird die Abbildung jedoch zu n-zu-1. Die Abbildung kann zum Beispiel als ein Informationstupel dargestellt werden, das mehrere Eingabeereignis-IDs mit der Ausgabealarm-ID in Beziehung setzt. Die Bestimmung dessen, welche Ereignisse berücksichtigt wurden, kann zum Beispiel das gegenwärtige Eingabeereignis zum Zeitpunkt des Erzeugens der Regel aufweisen. Die Bestimmung dessen, welche Ereignisse berücksichtigt wurden, kann auch Ereignisse aufweisen, die von jedem beliebigen der zustandsorientierten Ereignisse (zum Beispiel auf Condition Exists oder Count basierende Filter, die ein oder mehrere Ereignisse spezifizieren können, die bereits eingetreten sind) gespeichert wurden, die sich auch in dem „if"-Steuerblock befanden, der zu der Regelaktion führte, um einen Alarm zu erzeugen. In einem Ausführungsbeispiel der vorliegenden Erfindung weisen all diese Ereignisse eine einzige eindeutige ID auf, außer dem erzeugten Alarm. Es kann jedoch sein, dass der Alarm keine eindeutige ID aufweist, bis das Ereignis von einem Ereignisverwalter verarbeitet worden ist. Folglich kann in Abwesenheit einer eindeutigen Kennung für den Ausgabealarm ein voller mehrteiliger Schlüssel des Alarms benutzt werden, um zu ermöglichen, dass die Aufzeichnung der n-zu-1-Beziehung ausgeschrieben wird. Dementsprechend können das Eingabeereignis und die Alarmregel, die zu dem jeweiligen Alarm führte, bestimmt werden.
  • Als Alternative kann in Abwesenheit einer eindeutigen Kennung für den Ausgabealarm das Aufschieben der Ausgabe der Aufzeichnung der n-zu-1-Beziehung, bis das Alarmereignis von der Regel zurück empfangen wird, ermöglichen, dass die entsprechende eindeutige ID bekannt ist. Die Aufzeichnung der n-zu-1-Beziehung kann dann als ein Ergebnis der Bereitstellung mit der entsprechenden eindeutigen ID ausgeschrieben werden. Dementsprechend können das Eingabeereignis und die Alarmregel, die zu dem entsprechenden Alarm führte, bestimmt werden.
  • Als Alternative kann eine eindeutige, einem Sender zugewiesene ID zum Zeitpunkt der Erzeugung eines Ereignisses wie eines Alarms benutzt werden. Die einem Sender zugewiesene ID kann anstatt einer einem Ereignisverwalter zugewiesenen eindeutigen ID benutzt werden, um zu ermöglichen, dass die Aufzeichnung der n-zu-1-Beziehung ausgeschrieben wird. Dementsprechend können das Eingabeereignis und die Alarmregel, die zu dem jeweiligen Alarm führte, bestimmt werden.
  • In jedem Ereignis kann die Ausgabe, zum Beispiel die Aufzeichnung der n-zu-1-Beziehung, als eine Tabelle gespeichert und als Teil des Ereignisarchivs verwaltet werden. Dementsprechend könnte der Ereignisarchiv-Dienstprozessor verstärkt werden, um eine Abfrage nach verwandten Ereignissen bereitzustellen, die das Ereignisarchiv benutzen würden, um Information zu erhalten, die von der Aufzeichnung der n-zu-1-Beziehung bereitgestellt wird.
  • Die oben beschriebenen Ausführungsformen sind erläuternde Beispiele der vorliegenden Erfindung und sie soll nicht derart ausgelegt werden, dass die vorliegende Erfindung auf diese bestimmten Ausführungsformen eingeschränkt ist.

Claims (22)

  1. Knoten (410) für ein Ereignisverwaltungssystem (300), umfassend: einen Ereignisverwalter (411), umfassend Mittel zum Empfangen und Bereitstellen von Ereignisdaten; dadurch gekennzeichnet, dass der Knoten (410) ferner Folgendes umfasst: einen Ereigniskorrelator (413), der mit dem Ereignisverwalter (411) verbunden und gestaltet ist, um mit einem Alarmregelspeicher (406) außerhalb des Knotens zu kommunizieren, wobei der Ereigniskorrelator einen ersten Satz von Alarmregeln und Mittel zum Korrelieren der Ereignisdaten umfasst, die von dem Ereignisverwalter basierend auf den Alarmregeln bereitgestellt werden, wobei der Ereigniskorrelator ferner Folgendes umfasst: Mittel zum Anfordern eines zweiten Satzes von Alarmregeln aus dem Alarmregelspeicher (406) in Antwort auf den Empfang eines Regelereignisses, das von dem Alarmregelspeicher (406) veröffentlicht wird; Mittel zum Ändern einer beliebigen der jeweiligen Regeln aus dem ersten Satz von Alarmregeln, die in dem zweiten Satz von Alarmregeln geändert worden sind, zum Hinzufügen einer Regel zu dem ersten Satz von Alarmregeln, die zu dem zweiten Satz von Alarmregeln hinzugefügt worden ist, und zum Entfernen einer Regel aus dem ersten Satz von Alarmregeln, die aus dem zweiten Satz von Alarmregeln entfernt worden ist; und Mittel zum Ausführen der Regeln des ersten Satzes von Alarmregeln, die geändert oder hinzugefügt worden sind; und eine Antwortmaschine (414), die mit dem Ereignisverwalter (411) verbunden ist, wobei die Antwortmaschine Mittel zum Ausführen eines Antwortregelwerks basierend auf der Korrelation von Ereignissen durch den Ereigniskorrelator (413) umfasst.
  2. Ereignisverwaltungssystem nach Anspruch 1, ferner umfassend ein Ereignisarchiv (412), das mit dem Ereignisverwalter (411) verbunden ist, wobei das Ereignisarchiv eine Ereignisarchivdatei und einen Ereignisarchiv-Dienstprozessor aufweist, wobei der Ereignisverwalter gestaltet ist, um Ereignisdaten in der Ereignisarchivdatei zu speichern, und der Ereignisarchiv-Dienstprozessor Mittel zum Verarbeiten der Ereignisdaten in der Ereignisarchivdatei umfasst.
  3. Ereignisverwaltungssystem, umfassend einen ersten Knoten (410) nach Anspruch 1 oder Anspruch 2 in Kombination mit einem zweiten Knoten (401), wobei der zweite Knoten Folgendes umfasst: einen Ereignisverwalter (402), der Mittel zum Empfangen einer oder mehrerer Teilnahmeanfragen für ein oder mehrere Ereignisdaten von einem oder mehreren Teilnehmern (413) und Mittel zum Empfangen und Bereitstellen von Ereignisdaten dem einen oder den mehreren Teilnehmern (413) umfasst; und wobei der Alarmregelspeicher (406) Folgendes umfasst: Mittel zum Speichern von Alarmregeln, Mittel zum Veröffentlichen eines Regelereignisses in Antwort auf den Empfang einer modifizierten Alarmregel oder einer neuen Alarmregel; und Mittel zum Bereitstellen eines Satzes von Alarmregeln einem Teilnehmer (413) in Antwort auf eine Anfrage für den Satz von Alarmregeln.
  4. System nach Anspruch 3, ferner umfassend Mittel (403) zum Bearbeiten oder Hinzufügen von Alarmregeln zu dem Alarmregelspeicher (406).
  5. System (401) nach Anspruch 4, wobei das Mittel (403) zum Bearbeiten oder Hinzufügen von Alarmregeln Folgendes umfasst: Mittel zum Abfragen des Alarmregelspeichers (406) nach Alarmregeln; und Mittel zum Schreiben von Veränderungen in den Alarmregelspeicher (406);
  6. System nach Anspruch 3, 4 oder 5, wobei der Alarmregelspeicher (406) Mittel zum Veröffentlichen eines Regelereignisses in Antwort auf die Entfernung einer Alarmregel aus dem Alarmregelspeicher umfasst.
  7. Ereignisverwaltungssystem nach einem der Ansprüche 3 bis 6, wobei das System mehrere Knoten (410) jeweils nach Anspruch 1 umfasst, wobei der Ereigniskorrelator (413) eines der mehreren Knoten (410) gestaltet ist, um mindestens jeweils zwei Ereignisse zu korrelieren, die von jedem von mindestens zwei der mehreren Ereignisverwalter (411) der mehreren Knoten (410) bereitgestellt werden.
  8. Verfahren zur Verwaltung eines Computersystems, dadurch gekennzeichnet, dass das Verfahren von einem Knoten (410) ausgeführt wird, der einen ersten Satz von Alarmregeln umfasst, und ferner dadurch gekennzeichnet, dass das Verfahren Folgendes umfasst: Korrelieren von Ereignisdaten, die von einem Ereignisverwalter (402) bereitgestellt werden, basierend auf den Alarmregeln; Ausführen eines Antwortregelwerks basierend auf der Korrelation von Ereignissen von dem Ereigniskorrelator (413); Empfangen eines Regelereignisses, das von einem Alarmregelspeicher (406) außerhalb des Knotens veröffentlicht wird; Anfordern eines zweiten Satzes von Alarmregeln aus dem Alarmregelspeicher (406) in Antwort auf den Empfang des Regelereignisses; Ändern einer beliebigen der jeweiligen Regeln aus dem ersten Satz von Alarmregeln, die in dem zweiten Satz von Alarmregeln geändert worden sind, Hinzufügen einer Regel zu dem ersten Satz von Alarmregeln, die zu dem zweiten Satz von Alarmregeln hinzugefügt worden ist, und Entfernen einer Regel aus dem ersten Satz von Alarmregeln, die aus dem zweiten Satz von Alarmregeln entfernt worden ist; und Ausführen der Regeln des ersten Satzes von Alarmregeln, die geändert oder hinzugefügt worden sind.
  9. Verfahren nach Anspruch 8, ferner umfassend: Empfangen von Ereignisdaten; Korrelieren der Ereignisdaten basierend auf den Alarmregeln; und Ausführen eines Antwortregelwerks basierend auf der Korrelation von Ereignissen.
  10. Verfahren nach Anspruch 9, ferner umfassend das Starten einer oder mehrerer vorbestimmter Regeln, die mit den Ereignisdaten in Verbindung stehen.
  11. Verfahren nach einem der Ansprüche 8 bis 10, ferner umfassend: dynamisches Bestimmen, ob eine Regel gelöscht wurde.
  12. Verfahren nach einem der Ansprüche 8 bis 11, ferner umfassend: Speichern von Ereignisdaten in einer Ereignisarchivdatei; und Verarbeiten von Ereignisdaten in der Ereignisarchivdatei.
  13. Verfahren nach einem der Ansprüche 8 bis 12, ferner umfassend, an einem zweiten Knoten: Empfangen von Teilnahmeanfragen für Ereignisdaten von einem oder mehreren Teilnehmern (413); Empfangen von Ereignisdaten und Bereitstellen der Ereignisdaten einem oder mehreren Teilnehmern (413); Empfangen mindestens einer von einer modifizierten Alarmregel und einer neuen Alarmregel; Veröffentlichen eines Regelereignisses in antwort auf den Empfang mindestens einer von einer modifizierten Alarmregel und einer neuen Alarmregel; und Bereitstellen eines Satzes von Alarmregeln einem Teilnehmer (413) in Antwort auf eine Anfrage für den Satz von Alarmregeln.
  14. Verfahren nach Anspruch 13, ferner umfassend einen Schritt des Bearbeitens oder Hinzufügens von Alarmregeln zu einem Alarmregelspeicher (406).
  15. Verfahren nach Anspruch 14, wobei der Schritt des Bearbeitens oder Hinzufügens von Alarmregeln Folgendes umfasst: Abfragen eines Alarmregelspeichers (406) nach Alarmregeln; und Schreiben von Veränderungen in den Alarmregelspeicher (406).
  16. Verfahren nach einem der Ansprüche 13 bis 15, ferner umfassend das Veröffentlichen eines Regelereignisses in Antwort auf die Entfernung einer Alarmregel.
  17. Verfahren nach einem der Ansprüche 13 bis 16, ferner umfassend das Empfangen einer oder mehrerer Teilnahmen aus mehreren verteilten Computerknoten.
  18. Verfahren nach Anspruch 17, wobei das Empfangen einer oder mehrerer Teilnahmen das Empfangen einer oder mehrerer Teilnahmen an einem oder mehreren Ereignissen aufweist, wobei die Ereignisse ein oder mehrere neue Ereignisse aufweisen, die durch Erzeugen eines oder mehrerer Schlüsselwertpaare dynamisch hinzugefügt werden, um das eine oder die mehreren neuen Ereignisse zu definieren.
  19. Verfahren nach Anspruch 17, ferner aufweisend: Führen einer Liste der einen oder mehreren Teilnahmen und entsprechenden Teilnehmer.
  20. Verfahren nach Anspruch 19, ferner aufweisend: Entfernen einer ausgewählten Teilnahme aus der Liste der einen oder mehreren Teilnahmen, wenn die ausgewählte Teilnahme annulliert wird.
  21. Verfahren nach Anspruch 17, wobei die eine oder die mehreren Teilnahmen eine oder mehrere Teilnahmen an dem Eintritt eines Ereignisses aufweisen, das ein oder mehrere vorbestimmte Kriterien erfüllt.
  22. Computerlesbares Medium, umfassend Befehle, die bei Ausführung von einem geeigneten Computer bewirken, dass der Computer ein Verfahren nach einem der Ansprüche 8 bis 12 ausführt.
DE69936152T 1998-12-31 1999-12-29 System und verfahren zur dynamischen korrelation von ereignissen Expired - Lifetime DE69936152T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US224487 1998-12-31
US09/224,487 US6446136B1 (en) 1998-12-31 1998-12-31 System and method for dynamic correlation of events
PCT/US1999/031135 WO2000039674A1 (en) 1998-12-31 1999-12-29 System and method for dynamic correlation of events

Publications (2)

Publication Number Publication Date
DE69936152D1 DE69936152D1 (de) 2007-07-05
DE69936152T2 true DE69936152T2 (de) 2008-01-24

Family

ID=22840921

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69936152T Expired - Lifetime DE69936152T2 (de) 1998-12-31 1999-12-29 System und verfahren zur dynamischen korrelation von ereignissen

Country Status (14)

Country Link
US (1) US6446136B1 (de)
EP (1) EP1192535B1 (de)
JP (1) JP2002533828A (de)
KR (1) KR100512231B1 (de)
CN (1) CN1126033C (de)
AT (1) ATE363095T1 (de)
AU (1) AU760999B2 (de)
BR (1) BR9916697A (de)
CA (1) CA2356672A1 (de)
DE (1) DE69936152T2 (de)
HK (1) HK1046449A1 (de)
IL (2) IL143940A0 (de)
WO (1) WO2000039674A1 (de)
ZA (1) ZA200105265B (de)

Families Citing this family (201)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2762951B1 (fr) * 1997-05-02 1999-07-23 Alsthom Cge Alcatel Procede de transmission d'une notification dans un reseau comportant un service de notifications et reseau pour sa mise en oeuvre
US7080385B1 (en) * 1997-08-18 2006-07-18 Tibco Software Inc. Certified message delivery and queuing in multipoint publish/subscribe communications
US6993771B1 (en) * 1999-02-03 2006-01-31 William H. Gates, III Method and system for managing software components
US6920475B1 (en) * 1999-04-23 2005-07-19 Oracle International Corporation Communication architecture for distributed computing environment
US7725570B1 (en) 1999-05-24 2010-05-25 Computer Associates Think, Inc. Method and apparatus for component to service mapping in service level management (SLM)
US6467052B1 (en) * 1999-06-03 2002-10-15 Microsoft Corporation Method and apparatus for analyzing performance of data processing system
US6671722B1 (en) * 1999-07-08 2003-12-30 Intel Corporation Stack-less, CPU-less creation of valid SNMP-trap packets
US6442565B1 (en) * 1999-08-13 2002-08-27 Hiddenmind Technology, Inc. System and method for transmitting data content in a computer network
US6950881B1 (en) * 1999-11-02 2005-09-27 Mshift, Inc. System for converting wireless communications for a mobile device
CN1187957C (zh) 1999-11-09 2005-02-02 开放电视公司 事件预订方法和设备
US6792456B1 (en) * 2000-05-08 2004-09-14 International Business Machines Corporation Systems and methods for authoring and executing operational policies that use event rates
WO2001089171A2 (en) * 2000-05-16 2001-11-22 Mshift, Inc. System for providing network content to wireless devices
US7143153B1 (en) * 2000-11-09 2006-11-28 Ciena Corporation Internal network device dynamic health monitoring
US6766368B1 (en) * 2000-05-23 2004-07-20 Verizon Laboratories Inc. System and method for providing an internet-based correlation service
US6941557B1 (en) * 2000-05-23 2005-09-06 Verizon Laboratories Inc. System and method for providing a global real-time advanced correlation environment architecture
WO2001095572A2 (en) * 2000-06-05 2001-12-13 Telefonaktiebolaget Lm Ericsson (Publ) Method, system, and agent for processing a network resource alarm update in a telecommunication management network
AU2001279130A1 (en) * 2000-08-01 2002-02-13 Qwest Communications International Inc. Performance modeling, fault management and repair in a xdsl network
US6839723B2 (en) * 2000-08-29 2005-01-04 Fujitsu Limited Information management system
DE10044246A1 (de) * 2000-09-07 2002-04-04 Siemens Ag Verfahren zum Verwalten von Meldungen
US6990654B2 (en) * 2000-09-14 2006-01-24 Bea Systems, Inc. XML-based graphical user interface application development toolkit
AU2001292691B2 (en) * 2000-09-15 2007-05-24 Schneider Electric Software, Llc A method and system for remote configuration of process data access servers
JP2002109211A (ja) * 2000-09-28 2002-04-12 Fujitsu Ltd 運用管理方法,運用管理装置,記録媒体,運用管理システム
US20020161928A1 (en) * 2000-10-10 2002-10-31 Awele Ndili Smart agent for providing network content to wireless devices
US7043661B2 (en) 2000-10-19 2006-05-09 Tti-Team Telecom International Ltd. Topology-based reasoning apparatus for root-cause analysis of network faults
US7814194B2 (en) * 2000-12-07 2010-10-12 International Business Machines Corporation Method and system for machine-aided rule construction for event management
US20030046395A1 (en) * 2000-12-12 2003-03-06 Robert Fleming System and method for bounding the life of an event subscription to the availability of an object
US7363495B2 (en) * 2001-02-22 2008-04-22 Bea Systems, Inc. System and method for message encryption and signing in a transaction processing system
GB2372671B (en) * 2001-02-27 2003-04-30 3Com Corp Processing network events to reduce the number of events to be displayed
CA2350735A1 (en) * 2001-03-14 2002-09-14 Ibm Canada Limited-Ibm Canada Limitee A method for providing open access to application profiling data
US6966015B2 (en) * 2001-03-22 2005-11-15 Micromuse, Ltd. Method and system for reducing false alarms in network fault management systems
ES2294127T3 (es) * 2001-04-04 2008-04-01 Nokia Corporation Metodo y sistema de analisis.
US20030217333A1 (en) * 2001-04-16 2003-11-20 Greg Smith System and method for rules-based web scenarios and campaigns
US6868540B2 (en) * 2001-05-04 2005-03-15 International Business Machines Corporation Recycling events to take advantage of capabilities of a management system
US6961940B2 (en) * 2001-05-04 2005-11-01 International Business Machines Corporation Dynamically adapting events to capabilities of a management system
US7185105B2 (en) * 2001-05-11 2007-02-27 Bea Systems, Inc. Application messaging system with flexible message header structure
US7359882B2 (en) * 2001-05-11 2008-04-15 Bea Systems, Inc. Distributed run-time licensing
US20020174109A1 (en) * 2001-05-16 2002-11-21 Chandy Kanianthra Mani Event detection with concurrent data updates
US7516208B1 (en) * 2001-07-20 2009-04-07 International Business Machines Corporation Event database management method and system for network event reporting system
US7356529B1 (en) * 2001-07-27 2008-04-08 Ciena Corporation Mechanism for facilitating subscription in a publish/subscribe communication system
US7171671B2 (en) * 2001-08-23 2007-01-30 Microsoft Corporation Method and system for providing state change notifications in device drivers
WO2003041332A2 (en) * 2001-11-07 2003-05-15 Teltier Technologies, Inc. A mechanism to enforce availability preferences and needs of user resources hosted by telecommunication networks
KR100464330B1 (ko) * 2001-12-04 2005-01-03 삼성전자주식회사 간이네트워크관리프로토콜(snmp) 메니저의 네트워크장비의 대표상태의 관리 및 표시를 위한 시스템 및 방법
DE10161140A1 (de) * 2001-12-12 2003-07-03 Siemens Ag System und Verfahren zum Verfolgen und/oder Auswerten des Informationsaustausches
US7143417B2 (en) * 2002-01-10 2006-11-28 International Business Machines Corporation Notification services within a unified communications service
US20030229785A1 (en) * 2002-03-18 2003-12-11 Daseke Michael J. Dynamic hierarchies system and method for thin devices
US7379970B1 (en) * 2002-04-05 2008-05-27 Ciphermax, Inc. Method and system for reduced distributed event handling in a network environment
US7676812B2 (en) * 2002-06-10 2010-03-09 Microsoft Corporation Large scale event notification system
US6816813B2 (en) * 2002-10-15 2004-11-09 The Procter & Gamble Company Process for determining competing cause event probability and/or system availability during the simultaneous occurrence of multiple events
US7962589B1 (en) * 2002-11-07 2011-06-14 Cisco Technology, Inc. Method and apparatus for providing notification of network alarms using a plurality of distributed layers
US8230445B2 (en) * 2003-01-14 2012-07-24 International Business Machines Corporation Event management method and system
CA2416359A1 (en) * 2003-01-14 2004-07-14 Cognos Incorporated Trend detection in an event management system
CA2416357A1 (en) * 2003-01-14 2004-07-14 Cognos Incorporated Message suppression in an event management system
US20040139444A1 (en) * 2003-01-14 2004-07-15 Hope Clifford C. Notification service in an event management system
US20040139446A1 (en) * 2003-01-14 2004-07-15 Hope Clifford C. Event management system and method
CA2416337A1 (en) * 2003-01-14 2004-07-14 Cognos Incorporated Contextual drill through in an event management system
CA2416351A1 (en) * 2003-01-14 2004-07-14 Cognos Incorporated Recipient input in an event management system
US7263632B2 (en) * 2003-05-07 2007-08-28 Microsoft Corporation Programmatic computer problem diagnosis and resolution and automated reporting and updating of the same
US7636919B2 (en) * 2003-09-16 2009-12-22 International Business Machines Corporation User-centric policy creation and enforcement to manage visually notified state changes of disparate applications
US7409676B2 (en) * 2003-10-20 2008-08-05 International Business Machines Corporation Systems, methods and computer programs for determining dependencies between logical components in a data processing system or network
US9799008B2 (en) * 2004-02-27 2017-10-24 International Business Machines Corporation Applying ordered modifications to recurring event instances
US7444197B2 (en) 2004-05-06 2008-10-28 Smp Logic Systems Llc Methods, systems, and software program for validation and monitoring of pharmaceutical manufacturing processes
US7799273B2 (en) 2004-05-06 2010-09-21 Smp Logic Systems Llc Manufacturing execution system for validation, quality and risk assessment and monitoring of pharmaceutical manufacturing processes
US8108429B2 (en) 2004-05-07 2012-01-31 Quest Software, Inc. System for moving real-time data events across a plurality of devices in a network for simultaneous data protection, replication, and access services
US7565661B2 (en) 2004-05-10 2009-07-21 Siew Yong Sim-Tang Method and system for real-time event journaling to provide enterprise data services
US7552447B2 (en) * 2004-05-26 2009-06-23 International Business Machines Corporation System and method for using root cause analysis to generate a representation of resource dependencies
US20060031317A1 (en) * 2004-06-04 2006-02-09 Wanrong Lin System for synthesizing instant message and presence attributes from polled, queried and event information sources
US7680834B1 (en) 2004-06-08 2010-03-16 Bakbone Software, Inc. Method and system for no downtime resychronization for real-time, continuous data protection
WO2006038924A2 (en) 2004-06-18 2006-04-13 Sap Ag Consistent set of interfaces derived from a business object model
US20060036713A1 (en) * 2004-08-10 2006-02-16 International Business Machines Corporation Method, system and program product for configuring an event management system
US7263464B1 (en) * 2004-08-27 2007-08-28 Tonic Software, Inc. System and method for monitoring events in a computing environment
US7979404B2 (en) 2004-09-17 2011-07-12 Quest Software, Inc. Extracting data changes and storing data history to allow for instantaneous access to and reconstruction of any point-in-time data
US7730494B1 (en) * 2005-04-20 2010-06-01 At&T Corp. Methods and apparatus for service and network management event correlation
US7904913B2 (en) 2004-11-02 2011-03-08 Bakbone Software, Inc. Management interface for a system that provides automated, real-time, continuous data protection
US7996814B1 (en) * 2004-12-21 2011-08-09 Zenprise, Inc. Application model for automated management of software application deployments
FR2883085A1 (fr) * 2005-03-10 2006-09-15 France Telecom Procede de reconnaissance d'une chronique, dispositif et programme d'ordinateur correspondants
US7350107B2 (en) * 2005-04-29 2008-03-25 Microsoft Corporation Method and apparatus for performing network diagnostics
US7487408B2 (en) * 2005-04-29 2009-02-03 International Business Machines Corporation Deferring error reporting for a storage device to align with staffing levels at a service center
US8572744B2 (en) * 2005-05-02 2013-10-29 Steelcloud, Inc. Information security auditing and incident investigation system
US7788521B1 (en) 2005-07-20 2010-08-31 Bakbone Software, Inc. Method and system for virtual on-demand recovery for real-time, continuous data protection
US7689602B1 (en) 2005-07-20 2010-03-30 Bakbone Software, Inc. Method of creating hierarchical indices for a distributed object system
US7664784B2 (en) 2006-01-11 2010-02-16 Oracle International Corporation High-performance, scalable, adaptive and multi-dimensional event repository
US7265271B2 (en) * 2006-01-30 2007-09-04 Stine Seed Farm, Inc. Soybean cultivar 5023230
US8104045B1 (en) * 2006-02-24 2012-01-24 Rockwell Collins, Inc. Universal data forwarding system and method
US8146100B2 (en) 2006-03-21 2012-03-27 Sap Ag System and method for event-based information flow in software development processes
US20070250534A1 (en) * 2006-04-07 2007-10-25 Seahike, L.L.C. Virtual jukebox music system and method
US8661113B2 (en) * 2006-05-09 2014-02-25 International Business Machines Corporation Cross-cutting detection of event patterns
US8924269B2 (en) 2006-05-13 2014-12-30 Sap Ag Consistent set of interfaces derived from a business object model
US8131696B2 (en) * 2006-05-19 2012-03-06 Oracle International Corporation Sequence event processing using append-only tables
US8762395B2 (en) 2006-05-19 2014-06-24 Oracle International Corporation Evaluating event-generated data using append-only tables
WO2008007382A2 (en) * 2006-07-13 2008-01-17 Hayoman, Internet Technologies Ltd. System and method for event management
US7962922B2 (en) * 2006-08-28 2011-06-14 Microsoft Corporation Delivering callbacks into secure application areas
US7770183B2 (en) * 2007-01-30 2010-08-03 Microsoft Corporation Indirect event stream correlation
US8131723B2 (en) 2007-03-30 2012-03-06 Quest Software, Inc. Recovering a file system to any point-in-time in the past with guaranteed structure, content consistency and integrity
US8364648B1 (en) 2007-04-09 2013-01-29 Quest Software, Inc. Recovering a database to any point-in-time in the past with guaranteed data consistency
US20090055684A1 (en) * 2007-08-23 2009-02-26 Jamjoom Hani T Method and apparatus for efficient problem resolution via incrementally constructed causality model based on history data
US8073558B2 (en) * 2007-10-05 2011-12-06 Honeywell International Inc Critical resource notification system and interface device
US9449291B2 (en) * 2007-11-28 2016-09-20 Sap Se Subscriptions for routing incoming messages to process instances in a process execution engine
US20090210745A1 (en) * 2008-02-14 2009-08-20 Becker Sherilyn M Runtime Error Correlation Learning and Guided Automatic Recovery
US8417593B2 (en) 2008-02-28 2013-04-09 Sap Ag System and computer-readable medium for managing consistent interfaces for business objects across heterogeneous systems
US20090326988A1 (en) 2008-06-26 2009-12-31 Robert Barth Managing consistent interfaces for business objects across heterogeneous systems
US20100153297A1 (en) 2008-12-12 2010-06-17 Sap Ag Managing Consistent Interfaces for Credit Portfolio Business Objects Across Heterogeneous Systems
KR20100088049A (ko) * 2009-01-29 2010-08-06 삼성전자주식회사 사용자 인터페이스 구성 객체들로 이루어진 콘텐츠의 사전 예측 불가능한 경로를 통하여 수신되는 정보들의 처리 방법 및 이를 위한 장치
US9253536B2 (en) 2009-03-18 2016-02-02 Microsoft Technology Licensing, Llc Updating data-consuming entities
US9135091B2 (en) * 2009-04-03 2015-09-15 Microsoft Technology Licensing, Llc Communicating events or data between application components
FR2944117B1 (fr) * 2009-04-06 2014-05-09 Airbus France Procedes et dispositifs de gestion d'evenements lies a la securite des systemes informatiques d'aeronefs
US8392840B2 (en) * 2009-05-22 2013-03-05 Microsoft Corporation Large sets of data
US8671191B2 (en) 2009-07-17 2014-03-11 Honeywell International Inc. Installation system for demand response resources
US8572230B2 (en) 2009-07-17 2013-10-29 Honeywell International Inc. System for using attributes to deploy demand response resources
US8782190B2 (en) 2009-07-17 2014-07-15 Honeywell International, Inc. Demand response management system
US9124535B2 (en) 2009-07-17 2015-09-01 Honeywell International Inc. System for using attributes to deploy demand response resources
US8667132B2 (en) 2009-07-17 2014-03-04 Honeywell International Inc. Arrangement for communication about and management of a resource using a mobile device
US9818073B2 (en) 2009-07-17 2017-11-14 Honeywell International Inc. Demand response management system
US8676953B2 (en) 2009-07-17 2014-03-18 Honeywell International Inc. Use of aggregated groups for managing demand response resources
US8671167B2 (en) 2009-07-17 2014-03-11 Honeywell International Inc. System for providing demand response services
US9137050B2 (en) 2009-07-17 2015-09-15 Honeywell International Inc. Demand response system incorporating a graphical processing unit
US8396751B2 (en) 2009-09-30 2013-03-12 Sap Ag Managing consistent interfaces for merchandising business objects across heterogeneous systems
US8856048B2 (en) * 2009-10-15 2014-10-07 International Business Machines Corporation Method, system, and computer program product for automatically applying a predictive temporal profile to computer resource management decisions
US8732083B2 (en) 2010-06-15 2014-05-20 Sap Ag Managing consistent interfaces for number range, number range profile, payment card payment authorisation, and product template template business objects across heterogeneous systems
US9135585B2 (en) 2010-06-15 2015-09-15 Sap Se Managing consistent interfaces for property library, property list template, quantity conversion virtual object, and supplier property specification business objects across heterogeneous systems
US20120084432A1 (en) * 2010-09-30 2012-04-05 Soprovich Greg F Method and apparatus for protocol event management
US8386602B2 (en) 2010-11-02 2013-02-26 International Business Machines Corporation Relevant alert delivery in a distributed processing system
US8364813B2 (en) 2010-11-02 2013-01-29 International Business Machines Corporation Administering incident pools for event and alert analysis
US8621277B2 (en) 2010-12-06 2013-12-31 International Business Machines Corporation Dynamic administration of component event reporting in a distributed processing system
US8805999B2 (en) 2010-12-07 2014-08-12 International Business Machines Corporation Administering event reporting rules in a distributed processing system
US8868984B2 (en) 2010-12-07 2014-10-21 International Business Machines Corporation Relevant alert delivery in a distributed processing system with event listeners and alert listeners
US8737231B2 (en) 2010-12-07 2014-05-27 International Business Machines Corporation Dynamic administration of event pools for relevant event and alert analysis during event storms
US8630744B2 (en) 2011-01-28 2014-01-14 Honeywell International Inc. Management and monitoring of automated demand response in a multi-site enterprise
US9153001B2 (en) 2011-01-28 2015-10-06 Honeywell International Inc. Approach for managing distribution of automated demand response events in a multi-site enterprise
US8626354B2 (en) 2011-01-28 2014-01-07 Honeywell International Inc. Approach for normalizing automated demand response events in energy management control systems
US20130340035A1 (en) * 2011-03-09 2013-12-19 Hewlett-Packard Development Company, L.P. Performing a change process based on a policy
WO2012138319A1 (en) * 2011-04-04 2012-10-11 Hewlett-Packard Development Company, L.P. Creating a correlation rule defining a relationship between event types
US8380838B2 (en) 2011-04-08 2013-02-19 International Business Machines Corporation Reduction of alerts in information technology systems
US8756462B2 (en) 2011-05-24 2014-06-17 International Business Machines Corporation Configurable alert delivery for reducing the amount of alerts transmitted in a distributed processing system
US8645757B2 (en) 2011-05-26 2014-02-04 International Business Machines Corporation Administering incident pools for event and alert analysis
US9213621B2 (en) 2011-05-27 2015-12-15 International Business Machines Corporation Administering event pools for relevant event analysis in a distributed processing system
US8676883B2 (en) 2011-05-27 2014-03-18 International Business Machines Corporation Event management in a distributed processing system
US8392385B2 (en) 2011-06-22 2013-03-05 International Business Machines Corporation Flexible event data content management for relevant event and alert analysis within a distributed processing system
US8713366B2 (en) 2011-06-22 2014-04-29 International Business Machines Corporation Restarting event and alert analysis after a shutdown in a distributed processing system
US9419650B2 (en) 2011-06-22 2016-08-16 International Business Machines Corporation Flexible event data content management for relevant event and alert analysis within a distributed processing system
US8880943B2 (en) 2011-06-22 2014-11-04 International Business Machines Corporation Restarting event and alert analysis after a shutdown in a distributed processing system
US8601490B2 (en) * 2011-07-28 2013-12-03 Sap Ag Managing consistent interfaces for business rule business object across heterogeneous systems
US8725654B2 (en) 2011-07-28 2014-05-13 Sap Ag Managing consistent interfaces for employee data replication business objects across heterogeneous systems
US8775280B2 (en) 2011-07-28 2014-07-08 Sap Ag Managing consistent interfaces for financial business objects across heterogeneous systems
US9178936B2 (en) 2011-10-18 2015-11-03 International Business Machines Corporation Selected alert delivery in a distributed processing system
US8887175B2 (en) 2011-10-18 2014-11-11 International Business Machines Corporation Administering incident pools for event and alert analysis
US20130097272A1 (en) 2011-10-18 2013-04-18 International Business Machines Corporation Prioritized Alert Delivery In A Distributed Processing System
US20130097215A1 (en) 2011-10-18 2013-04-18 International Business Machines Corporation Selected Alert Delivery In A Distributed Processing System
US8713581B2 (en) * 2011-10-27 2014-04-29 International Business Machines Corporation Selected alert delivery in a distributed processing system
US8762454B2 (en) 2012-02-16 2014-06-24 Sap Ag Consistent interface for flag and tag
US8756274B2 (en) 2012-02-16 2014-06-17 Sap Ag Consistent interface for sales territory message type set 1
US9237425B2 (en) 2012-02-16 2016-01-12 Sap Se Consistent interface for feed event, feed event document and feed event type
US8762453B2 (en) 2012-02-16 2014-06-24 Sap Ag Consistent interface for feed collaboration group and feed event subscription
US8984050B2 (en) 2012-02-16 2015-03-17 Sap Se Consistent interface for sales territory message type set 2
US9232368B2 (en) 2012-02-16 2016-01-05 Sap Se Consistent interface for user feed administrator, user feed event link and user feed settings
US10255121B1 (en) * 2012-02-21 2019-04-09 EMC IP Holding Company LLC Stackable system event clearinghouse for cloud computing
US8615451B1 (en) 2012-06-28 2013-12-24 Sap Ag Consistent interface for goods and activity confirmation
US8756135B2 (en) 2012-06-28 2014-06-17 Sap Ag Consistent interface for product valuation data and product valuation level
US9367826B2 (en) 2012-06-28 2016-06-14 Sap Se Consistent interface for entitlement product
US9246869B2 (en) 2012-06-28 2016-01-26 Sap Se Consistent interface for opportunity
US8949855B2 (en) 2012-06-28 2015-02-03 Sap Se Consistent interface for address snapshot and approval process definition
US9400998B2 (en) 2012-06-28 2016-07-26 Sap Se Consistent interface for message-based communication arrangement, organisational centre replication request, and payment schedule
WO2014000200A1 (en) 2012-06-28 2014-01-03 Sap Ag Consistent interface for document output request
US8954811B2 (en) 2012-08-06 2015-02-10 International Business Machines Corporation Administering incident pools for incident analysis
US8943366B2 (en) 2012-08-09 2015-01-27 International Business Machines Corporation Administering checkpoints for incident analysis
US9076112B2 (en) 2012-08-22 2015-07-07 Sap Se Consistent interface for financial instrument impairment expected cash flow analytical result
US9043236B2 (en) 2012-08-22 2015-05-26 Sap Se Consistent interface for financial instrument impairment attribute values analytical result
US9547833B2 (en) 2012-08-22 2017-01-17 Sap Se Consistent interface for financial instrument impairment calculation
US20140081704A1 (en) 2012-09-15 2014-03-20 Honeywell International Inc. Decision support system based on energy markets
US9465678B2 (en) * 2012-10-25 2016-10-11 Hewlett Packard Enterprise Development Lp Event correlation
US9389850B2 (en) 2012-11-29 2016-07-12 Honeywell International Inc. System and approach to manage versioning of field devices in a multi-site enterprise
US9191343B2 (en) 2013-03-15 2015-11-17 Sap Se Consistent interface for appointment activity business object
US9191357B2 (en) 2013-03-15 2015-11-17 Sap Se Consistent interface for email activity business object
US9361184B2 (en) 2013-05-09 2016-06-07 International Business Machines Corporation Selecting during a system shutdown procedure, a restart incident checkpoint of an incident analyzer in a distributed processing system
US9691076B2 (en) 2013-07-11 2017-06-27 Honeywell International Inc. Demand response system having a participation predictor
US10346931B2 (en) 2013-07-11 2019-07-09 Honeywell International Inc. Arrangement for communicating demand response resource incentives
US9989937B2 (en) 2013-07-11 2018-06-05 Honeywell International Inc. Predicting responses of resources to demand response signals and having comfortable demand responses
US9170860B2 (en) 2013-07-26 2015-10-27 International Business Machines Corporation Parallel incident processing
US9658902B2 (en) 2013-08-22 2017-05-23 Globalfoundries Inc. Adaptive clock throttling for event processing
US9256482B2 (en) 2013-08-23 2016-02-09 International Business Machines Corporation Determining whether to send an alert in a distributed processing system
US9602337B2 (en) 2013-09-11 2017-03-21 International Business Machines Corporation Event and alert analysis in a distributed processing system
US9086968B2 (en) 2013-09-11 2015-07-21 International Business Machines Corporation Checkpointing for delayed alert creation
CN103618692B (zh) * 2013-10-28 2017-01-11 中国航天科工集团第二研究院七〇六所 一种构建日志快速匹配的方法
US9697262B2 (en) * 2013-12-17 2017-07-04 Microsoft Technology Licensing, Llc Analytical data processing engine
US9389943B2 (en) 2014-01-07 2016-07-12 International Business Machines Corporation Determining a number of unique incidents in a plurality of incidents for incident processing in a distributed processing system
US9665078B2 (en) 2014-03-25 2017-05-30 Honeywell International Inc. System for propagating messages for purposes of demand response
EP2927818B1 (de) * 2014-04-04 2019-05-29 Siemens Aktiengesellschaft Verfahren zur automatischen verarbeitung einer anzahl von protokolldateien eines automatisierungssystems
WO2015167496A1 (en) * 2014-04-30 2015-11-05 Hewlett-Packard Development Company, L.P. Selecting from computing nodes for correlating events
US10585869B2 (en) * 2015-05-22 2020-03-10 Open Text Holdings, Inc. System and method for generating, maintaining, and querying a database for computer investigations
IN2015CH05361A (de) 2015-10-07 2015-10-16 Wipro Ltd
US10110419B2 (en) * 2015-12-17 2018-10-23 Ca, Inc. Alarm to event tracing
US10241854B2 (en) 2016-02-26 2019-03-26 Red Hat, Inc. Correlation-based monitoring and events for a unified storage manager
US10896178B2 (en) 2016-03-30 2021-01-19 Microsoft Technology Licensing, Llc High performance query processing and data analytics
US10178161B2 (en) 2016-05-11 2019-01-08 Microsoft Technology Licensing, Llc Digital signal processing over data streams
CN106484595A (zh) * 2016-10-09 2017-03-08 华青融天(北京)技术股份有限公司 一种事件处理方法及装置
CN106357457B (zh) * 2016-10-31 2019-10-25 瑞斯康达科技发展股份有限公司 一种告警测试方法、装置以及系统
US10860680B1 (en) 2017-02-07 2020-12-08 Cloud & Stream Gears Llc Dynamic correlation batch calculation for big data using components
US10915498B2 (en) 2017-03-30 2021-02-09 International Business Machines Corporation Dynamically managing a high speed storage tier of a data storage system
US10795575B2 (en) 2017-03-31 2020-10-06 International Business Machines Corporation Dynamically reacting to events within a data storage system
US10541556B2 (en) 2017-04-27 2020-01-21 Honeywell International Inc. System and approach to integrate and manage diverse demand response specifications for multi-site enterprises
EP3767404A1 (de) * 2019-07-18 2021-01-20 Siemens Aktiengesellschaft Implementierung von ereignisregeln für wartungsrelevante ereignisse in einer vielzahl von maschinen
CN110784338B (zh) * 2019-09-29 2023-03-10 许昌许继软件技术有限公司 一种智能告警处理方法及配网主站系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5165018A (en) * 1987-01-05 1992-11-17 Motorola, Inc. Self-configuration of nodes in a distributed message-based operating system
US5063523A (en) * 1989-11-16 1991-11-05 Racal Data Communications Inc. Network management system with event rule handling
US5459717A (en) * 1994-03-25 1995-10-17 Sprint International Communications Corporation Method and apparatus for routing messagers in an electronic messaging system
US5528516A (en) * 1994-05-25 1996-06-18 System Management Arts, Inc. Apparatus and method for event correlation and problem reporting
US5615359A (en) * 1994-06-23 1997-03-25 Candle Distributed Solutions, Inc. Data server with data probes employing predicate tests in rule statements
US6601048B1 (en) * 1997-09-12 2003-07-29 Mci Communications Corporation System and method for detecting and managing fraud
US5881315A (en) * 1995-08-18 1999-03-09 International Business Machines Corporation Queue management for distributed computing environment to deliver events to interested consumers even when events are generated faster than consumers can receive
US5764974A (en) * 1995-08-30 1998-06-09 Unisys Corporation System with user specified pattern definitions for matching input messages and associated decisions for conditionally responding to the input messages
US5758083A (en) * 1995-10-30 1998-05-26 Sun Microsystems, Inc. Method and system for sharing information between network managers
US5870605A (en) * 1996-01-18 1999-02-09 Sun Microsystems, Inc. Middleware for enterprise information distribution
US5873084A (en) * 1996-01-18 1999-02-16 Sun Microsystems, Inc. Database network connectivity product
US5787409A (en) * 1996-05-17 1998-07-28 International Business Machines Corporation Dynamic monitoring architecture
US5872931A (en) * 1996-08-13 1999-02-16 Veritas Software, Corp. Management agent automatically executes corrective scripts in accordance with occurrences of specified events regardless of conditions of management interface and management engine
US6108700A (en) * 1997-08-01 2000-08-22 International Business Machines Corporation Application end-to-end response time measurement and decomposition
US6272537B1 (en) * 1997-11-17 2001-08-07 Fujitsu Limited Method for building element manager for a computer network element using a visual element manager builder process
US6216132B1 (en) * 1997-11-20 2001-04-10 International Business Machines Corporation Method and system for matching consumers to events
US6148338A (en) * 1998-04-03 2000-11-14 Hewlett-Packard Company System for logging and enabling ordered retrieval of management events
US6289384B1 (en) * 1998-06-05 2001-09-11 I2 Technologies, Inc. System and method for event notification through a firewall

Also Published As

Publication number Publication date
IL143940A (en) 2007-06-03
JP2002533828A (ja) 2002-10-08
HK1046449A1 (zh) 2003-01-10
ZA200105265B (en) 2002-11-26
CA2356672A1 (en) 2000-07-06
EP1192535A1 (de) 2002-04-03
CN1332867A (zh) 2002-01-23
DE69936152D1 (de) 2007-07-05
IL143940A0 (en) 2002-04-21
AU760999B2 (en) 2003-05-29
WO2000039674A1 (en) 2000-07-06
KR20010105320A (ko) 2001-11-28
KR100512231B1 (ko) 2005-09-05
BR9916697A (pt) 2001-09-25
ATE363095T1 (de) 2007-06-15
EP1192535B1 (de) 2007-05-23
AU2395200A (en) 2000-07-31
CN1126033C (zh) 2003-10-29
EP1192535A4 (de) 2003-06-11
US6446136B1 (en) 2002-09-03

Similar Documents

Publication Publication Date Title
DE69936152T2 (de) System und verfahren zur dynamischen korrelation von ereignissen
DE60220287T2 (de) System und verfahren zur überwachung von software-warteschlangenanwendungen
DE69225566T2 (de) Rechnersystem
DE69032649T2 (de) Dateiveränderungsmonitor für rechner-, betriebs- und dateiverwaltungssysteme
DE69322057T2 (de) Verteiltes Datenverarbeitungssystem
DE68928195T2 (de) Überwachung von Datenbankobjekten
DE60214862T2 (de) Methode für die verbesserte verwaltung von einer ereignisdatenbasis und system für ereignismeldung in einem netzwerk
DE69429686T2 (de) Transaktionsverwaltung in objektorientiertem System
DE60018803T2 (de) Verfahren und apparat zur verwaltung von information der speicheraktivitäten von datenspeichersystemen
DE19607515B4 (de) Computer mit Prozessverwalter
DE69316639T2 (de) System und verfahren zur schnittstellenbildung fur transaktion-verarbeitungssystem
DE69607360T2 (de) Unterstützung von anwendungsprogrammen in einer verteilten umgebung
DE60133648T2 (de) System und verfahren zum führen von laufzeitdaten in einem server-netzwerk
DE69705832T2 (de) Verfahren zum definieren und anwenden von regeln für nachrichtenverteilung für transaktionsverarbeitung in einer verteilten anwendung
EP1194865B1 (de) Verfahren zur datenpflege in einem netzwerk teilweise replizierter datenbanksysteme
DE69210399T2 (de) Rechnerueberwachungsverfahren und system
DE60004537T2 (de) In einer relationalen datenbank integriertes contextbasiertes system zur veröffentlichung und abonnierung
DE69736748T2 (de) Editierumgebung für objektmodelle und verfahren zu deren anwendung
DE69625652T2 (de) Ereignisverwaltungsdienst
DE69815946T2 (de) Informationsverarbeitungsvorrichtung
DE69913375T2 (de) Anzeige eines fehlers in einem transaktionsverarbeitungssystem
DE10128883A1 (de) Verfahren und System für die Verteilung von Anwendungsdaten auf verteilte Datenbanken mit verschiedenen Formaten
DE60314742T2 (de) System und verfahren zur überwachung eines computers
DE112018005452T5 (de) Schlüsselbasiertes loggen für die verarbeitung strukturierter datenelemente mit ausführbarer logik
DE3876823T2 (de) System zur verschliessungsverhuetung einer relationalen datenbank.

Legal Events

Date Code Title Description
8364 No opposition during term of opposition