Lärm im Incident Management vermeiden

Unterdrückung. Laut Thesaurus ist dieses Wort gleichbedeutend mit Begriffen wie Löschung, Eliminierung und Vernichtung.

Im Kontext des Incident Managements bedeutet Unterdrückung jedoch etwas ganz anderes. Es geht nicht darum, Daten für immer zu löschen. Vielmehr soll sichergestellt werden, dass sich Administratoren zur richtigen Zeit auf die richtigen Warnmeldungen konzentrieren, indem Lärmminderung .

Hier sehen Sie, wie Unterdrückung trägt erheblich zur Rationalisierung des Vorfallmanagements bei.

Warum Unterdrückung wichtig ist

Warum ist die Unterdrückung im Incident Management sinnvoll? Einfach ausgedrückt, weil moderne Infrastruktur generiert eine riesige Menge an Alarmen und Administratoren können nicht erwarten, dass sie jeden einzelnen Alarm überprüfen können. Wenn sie es versuchen, werden sie bald Opfer von Alarmmüdigkeit , was bedeutet, dass sie beginnen, potenziell wichtige Warnmeldungen zu ignorieren, weil sie überfordert und ausgebrannt sind. Und wenn sie den Warnmeldungen keine Aufmerksamkeit mehr schenken, bricht der gesamte Vorfallmanagementprozess zusammen.

Alarmunterdrückung ist eine Möglichkeit, dieses Problem zu vermeiden. Durch die Unterdrückung von Warnungen bestimmter Typen können Administratoren sicherstellen, dass umsetzbare Warnungen mit hoher Priorität die größte Aufmerksamkeit erhalten. Sie können auch die Gesamtzahl der Warnungen reduzieren, die auf ihren Dashboards angezeigt werden, was dazu beiträgt, das Risiko einer Warnungsmüdigkeit zu vermeiden.

Stellen Sie sich beispielsweise eine Organisation vor, deren Workstations nach der Installation von Updates einmal pro Woche über Nacht neu gestartet werden. Der Neustart würde eine Reihe von Warnmeldungen erzeugen, wenn die Workstations offline gehen und wieder hochfahren. Es wäre nicht hilfreich, diese zum Dashboard für Vorfälle hinzuzufügen, das Administratoren sehen, da die Warnmeldungen in diesem Fall ein routinemäßiges Verfahrensereignis widerspiegeln, das keine Maßnahmen erfordert. Um dieses nicht hilfreiche Rauschen zu den Dashboards der Administratoren zu vermeiden, können Administratoren ihre Vorfallmanagementsoftware so konfigurieren, dass Warnmeldungen im Zusammenhang mit einem Neustart einer Workstation unterdrückt werden.

Unterdrückung: Kein Entweder-oder-Vorschlag

Ein wichtiger Punkt, den Sie bei der Unterdrückung von Alarmen verstehen müssen, ist, dass die Unterdrückung von Alarmen kein Entweder-oder-Vorschlag ist. Mit anderen Worten: Die Optionen der Administratoren sind nicht darauf beschränkt, einfach alle Alarme eines bestimmten Typs zu aktivieren oder alle dauerhaft zu unterdrücken.

Sie können stattdessen eine differenzierter Ansatz zur Unterdrückung . Die Unterdrückung von Warnungen könnte so konfiguriert werden, dass Warnungen eines bestimmten Typs unterdrückt werden, es sei denn, sie treten beispielsweise wiederholt innerhalb eines bestimmten Zeitraums auf. Warnungen könnten auch so konfiguriert werden, dass sie gemeldet werden, wenn sie zu einer bestimmten Tageszeit auftreten, zu anderen Zeiten jedoch unterdrückt werden. Ebenso möchten Administratoren möglicherweise Warnungen eines bestimmten Typs unterdrücken, wenn sie auf einem bestimmten Gerätetyp auftreten, auf anderen jedoch nicht.

Diese Flexibilität ist wichtig, da sie sicherstellt, dass Administratoren die Wirksamkeit von Warnmeldungen maximieren können. Anstatt umfassende, stumpfe Unterdrückungsrichtlinien anzuwenden, können sie die Unterdrückungseinstellungen optimieren, um die Sichtbarkeit wichtiger Ereignisse zu maximieren, ohne das Vorfallmanagementsystem unnötig zu belasten.

Im obigen Beispiel könnte eine differenzierte Unterdrückung hilfreich sein. Wie ich bereits erwähnt habe, möchten Administratoren im Allgemeinen keine Benachrichtigungen erhalten, wenn eine Workstation nach einem Softwareupdate mitten in der Nacht neu gestartet wird. Wenn die Vorfallmanagementsoftware jedoch eine Workstation erkennt, die im selben Zeitraum mehrmals neu gestartet wird, könnte dies auf ein Problem hinweisen (z. B. ein fehlerhaftes Softwareupdate), über das Administratoren informiert werden möchten. In dieser Situation würde eine Unterdrückung, die so konfiguriert ist, dass nur wiederkehrende Neustarts Vorfälle generieren, die im zentralen Dashboard angezeigt werden, zur Optimierung der Vorfallmanagement-Effektivität beitragen.

Unterdrückung bedeutet nicht Datenverlust

Es ist auch wichtig zu betonen, dass die Unterdrückung im Rahmen des Vorfallmanagements nicht bedeutet, dass unterdrückte Warnungen für immer verschwinden. Im Gegenteil, unterdrückte Warnungen treten weiterhin auf und die damit verbundenen Daten sollten gespeichert werden. Der einzige Unterschied zwischen einer unterdrückten und einer nicht unterdrückten Warnung besteht darin, dass erstere nicht an Prioritäts-Dashboards im Vorfallmanagementsystem gesendet werden.

Dies ist wichtig zu verstehen, da es bedeutet, dass Administratoren weiterhin die Möglichkeit haben, unterdrückte Warnungen nachzuschlagen, um bei Bedarf Einblick in einen Vorfall zu erhalten. Dies hilft ihnen auch dabei, ihre Warnschwellen besser anzupassen. Darüber hinaus werden unterdrückte Warnungen weiterhin in die historischen Vorfallmanagementdaten aufgenommen, die verwendet werden können, um viele wertvolle Informationen über die Effizienz und Integritätstrends der Infrastruktur zu liefern.

Mit der Unterdrückung können Sie Ihre Warnmeldungen erhalten und sie gleichzeitig auffressen – oder so ähnlich.

Unterdrückte Warnmeldungen können von Administratoren auf jede Art und Weise genutzt werden, die sie benötigen, um Vorfälle zu identifizieren und darauf zu reagieren. Sie überladen Dashboards jedoch nicht mit nicht umsetzbaren Informationen, die die Lösung von Vorfällen behindern, die wahrscheinlich eine höhere Priorität haben. Darüber hinaus kann die Unterdrückung so angepasst werden, dass Warnmeldungen nur unter genau den richtigen Umständen unterdrückt, aber immer gemeldet werden, sodass Sie vollständige Transparenz über Ihre Infrastruktur erhalten.