Les promesses de corrélation des outils de monitoring sont nombreuses. Pourtant, efficacité et pertinence ne sont pas toujours au rendez-vous ! La corrélation de Canopsis, issue de réflexions avec nos clients et prospects, prend une nouvelle dimension et permet d’y voir plus clair.
Disponible sur Canopsis Pro Edition en Avril 2020
La promesse (tenue) : parce que (beaucoup) trop d’alarmes tuent l’alarme !
Diminuer de façon drastique le nombre d’alarmes dans le bac des exploitants en les regroupant.
Mais ce n’est pas si simple…
La corrélation dans Canopsis, comment ça marche ?
Canopsis offre un bac à alarmes paramétrable qui centralise et normalise tous les événements produits par le système d’Information : il s’agit de la fonction de collecte « de base » de toute solution d’hypervision.
Toutes les alarmes sont affichées de manière individuelle dans un bac à alarmes.
De nouveaux moteurs de règles vont regrouper les alarmes. Celles-ci deviennent des méta-alarmes.
Ces règles de gestion peuvent porter sur :
- La relation composant/ressource
- La notion de temps
- Des critères de référentiel
Les règles sont établies à partir de :
- Liens existants entre composants et ressources dans le référentiel (si celui-ci est disponible)
- Règles pré définies par l’administrateur
- Suggestions des utilisateurs par l’intermédiaire d’un formulaire
Un peu plus de détails sur la bête
Ce qui facilite la vie des administrateurs du SI, c’est la possibilité de mettre en place plusieurs solutions de corrélations, en fonction du besoin… Et ça, c’est malin !
Le lien parent-enfant natif (composant-ressource)
Si une ressource est en alarme au même moment que le composant dont elle dépend, alors une méta-alarme concernant le composant est créé.
Les regroupements
Regroupement temporel :
Si des alarmes apparaissent dans une période de temps prédéfinie, elles seront regroupées dans une méta-alarme qui concernera alors une nouvelle entité.
Regroupement par attribut :
Si des alarmes possédants des attributs communs apparaissent, elles seront regroupées dans une méta-alarme.
Mix de regroupements :
Il est possible d’appliquer à la fois des règles temporelles et sur des attributs.
Exemple n°1 – Créer une alarme globale si 80% des éléments surveillés du périmètre logistique déclenchent une alarme sur une période de temps de 1 heure.
Exemple n°2 – Créer une alarme globale si 5 éléments du domaine paye sont en alarme durant les 5 dernières minutes.
Une bonne alarmes est une alarme identifiée !
Toutes les méta-alarmes et alarmes conséquences (parent-enfant) portent un attribut pour les repérer et ainsi être filtrées dans un bac à alarmes.
Tout est alarme !
Une méta-alarme ou une alarme conséquence sont identifiées comme des alarmes classiques de Canopsis. Les actions standards ainsi que les actions de masse s’appliquent à celles-ci (ex : si une méta-alarme est acquittée, toutes les alarmes qui en dépendent sont acquittées également, un seul ticket est créé). Dans ce cas, il est possible de repérer qu’une action a été effectuée du fait d’une méta-alarme.
La corrélation dans Canopsis
Les regroupements d’alarmes apparaissent dans un bac à alarmes avec une représentation iconographique spécifiquement pensée et adaptée.
Figure 1 – Une méta-alarme repérée dans le bac et son symbole associé
Au survol, une note d’information (tooltip) présente la règle qui a permis le regroupement ainsi que le nombre d’alarmes conséquences.
Figure 2 – Tooltip
Par défaut, sans filtre activé, seules les méta-alarmes ainsi que les alarmes régulières sont affichées. Les alarmes conséquences sont « cachées » derrière leur regroupement spécifique. On ne présente que l’essentiel et donc moins d’alarmes sont présentées : CQFD !
Informations et ergonomie de la corrélation dans Canopsis
Un bouton spécifique, disponible sur les méta-alarmes et les alarmes conséquences, donne l’accès rapide au regroupement.
Le clic sur la tabulation présente dans un cas les alarmes conséquences et dans l’autre les alarmes causes.
La philosophie de Canopsis de tour de contrôle et du « tout sous la main » est ainsi respectée.
Le contenu du regroupement est paginé.
Figure 3 – Conséquences
Assistance à l’exploitation par Canopsis
Après avoir sélectionné une liste d’alarmes, un bouton “ Suggérer un regroupement ” est proposé.
Figure 4 – Suggérer un regroupement
Un formulaire de demande de justification de « regroupement » est alors proposé. Lorsque le formulaire est validé par l’exploitant, l’administrateur est informé de l’action et pourra décider de créer une règle associée (1). La suggestion de l’exploitant est automatiquement transmise à l’administrateur (2).
Figure 5 – Fenêtre modale « Regrouper les alarmes«
Conclusion sur la corrélation dans Canopsis
Points forts | Points faibles |
---|---|
– Plusieurs possibilités de corrélations | – Des corrélations nécessitent un référentiel souvent non-opérationnel chez le client (prérequis indispensable) |
– Lecture rapide des informations | – Toutes les règles ne sont pas encore écrites ; elles arriveront dans les prochaines versions. |
– Réduction du nombre d’alarmes visibles | |
– Actions utilisateurs sur regroupements | |
– Excellente intégration dans l’interface |
La corrélation dans Canopsis est certainement le meilleur outil de corrélation pour l’incident management. Mise en œuvre intuitive, fonctionnalité plébiscitée et possibilité de faire évoluer les règles au fur et à mesure de son utilisation directement par les utilisateurs : l’apprentissage du système assisté par l’exploitant est une riche idée, pragmatique. La corrélation Canopsienne permet à la solution de se distancer nettement des autres offres du marché.