Transcription
Front coverEvent Managementand Best PracticesImplement and use best practices forevent processingCustomize IBM Tivoli productsfor event processingDiagnose IBM Tivoli EnterpriseConsole, NetView, Switch AnalyzerTony BhePeter GlasmacherJacqueline MeckwoodGuilherme PereiraMichael Wallaceibm.com/redbooks
International Technical Support OrganizationEvent Management and Best PracticesJune 2004SG24-6094-00
Note: Before using this information and the product it supports, read the information in“Notices” on page ix.First Edition (June 2004)This edition applies to the following products: Version 3, Release 9, of IBM Tivoli Enterprise Console Version 7, Release 1, Modification 4 of IBM Tivoli NetView Version 1, Release 2, Modification 1 of IBM Tivoli Switch AnalyzerNote: This IBM Redbook is based on a pre-GA version of a product and may not apply whenthe product becomes generally available. We recommend that you consult the productdocumentation or follow-on versions of this IBM Redbook for more current information. Copyright International Business Machines Corporation 2004. All rights reserved.Note to U.S. Government Users Restricted Rights -- Use, duplication or disclosure restricted by GSA ADPSchedule Contract with IBM Corp.
ContentsNotices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixTrademarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xPreface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiThe team that wrote this redbook. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiBecome a published author . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiiComments welcome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiiChapter 1. Introduction to event management . . . . . . . . . . . . . . . . . . . . . . . 11.1 Importance of event correlation and automation . . . . . . . . . . . . . . . . . . . . . 21.2 Terminology. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.2.1 Event . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.2.2 Event management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.2.3 Event processing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.2.4 Automation and automated actions. . . . . . . . . . . . . . . . . . . . . . . . . . . 51.3 Concepts and issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.3.1 Event flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.3.2 Filtering and forwarding. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.3.3 Duplicate detection and throttling . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.3.4 Correlation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.3.5 Event synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.3.6 Notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161.3.7 Trouble ticketing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171.3.8 Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171.3.9 Maintenance mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.3.10 Automation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.4 Planning considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201.4.1 IT environment assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211.4.2 Organizational considerations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211.4.3 Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.4.4 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Chapter 2. Event management categories and best practices . . . . . . . . . 252.1 Implementation approaches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.1.1 Send all possible events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.1.2 Start with out-of-the-box notifications and analyze reiteratively . . . . 272.1.3 Report only known problems and add them to the list as they areidentified . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.1.4 Choose top X problems from each support area . . . . . . . . . . . . . . . 28 Copyright IBM Corp. 2004. All rights reserved.iii
2.1.5 Perform Event Management and Monitoring Design . . . . . . . . . . . . 282.2 Policies and standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.2.1 Reviewing the event management process . . . . . . . . . . . . . . . . . . . 332.2.2 Defining severities. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342.2.3 Implementing consistent standards. . . . . . . . . . . . . . . . . . . . . . . . . . 362.2.4 Assigning responsibilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.2.5 Enforcing policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.3 Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392.3.1 Why filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392.3.2 How to filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402.3.3 Where to filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412.3.4 What to filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412.3.5 Filtering best practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442.4 Duplicate detection and suppression . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452.4.1 Suppressing duplicate events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452.4.2 Implications of duplicate detection and suppression. . . . . . . . . . . . . 462.4.3 Duplicate detection and throttling best practices. . . . . . . . . . . . . . . . 502.5 Correlation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512.5.1 Correlation best practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512.5.2 Implementation considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542.6 Notification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562.6.1 How to notify . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562.6.2 Notification best practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582.7 Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602.7.1 Escalation best practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602.7.2 Implementation considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652.8 Event synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662.8.1 Event synchronization best practices . . . . . . . . . . . . . . . . . . . . . . . . 672.9 Trouble ticketing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682.9.1 Trouble ticketing best practices. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692.10 Maintenance mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722.10.1 Maintenance status notification. . . . . . . . . . . . . . . . . . . . . . . . . . . . 732.10.2 Handling events from a system in maintenance mode . . . . . . . . . . 742.10.3 Prolonged maintenance mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752.10.4 Network topology considerations . . . . . . . . . . . . . . . . . . . . . . . . . . 762.11 Automation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772.11.1 Automation best practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782.11.2 Automation implementation considerations . . . . . . . . . . . . . . . . . . 802.12 Best practices flowchart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Chapter 3. Overview of IBM Tivoli Enterprise Console . . . . . . . . . . . . . . . 853.1 The highlights of IBM Tivoli Enterprise Console . . . . . . . . . . . . . . . . . . . . 863.2 Understanding the IBM Tivoli Enterprise Console data flow . . . . . . . . . . . 87ivEvent Management and Best Practices
3.2.1 IBM Tivoli Enterprise Console input . . . . . . . . . . . . . . . . . . . . . . . . . 883.2.2 IBM Tivoli Enterprise Console processing . . . . . . . . . . . . . . . . . . . . 893.2.3 IBM Tivoli Enterprise Console output . . . . . . . . . . . . . . . . . . . . . . . . 903.3 IBM Tivoli Enterprise Console components . . . . . . . . . . . . . . . . . . . . . . . 913.3.1 Adapter Configuration Facility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913.3.2 Event adapter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913.3.3 IBM Tivoli Enterprise Console gateway . . . . . . . . . . . . . . . . . . . . . . 923.3.4 IBM Tivoli NetView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923.3.5 Event server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933.3.6 Event database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933.3.7 User interface server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933.3.8 Event console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933.4 Terms and definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943.4.1 Event . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943.4.2 Event classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943.4.3 Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953.4.4 Rule bases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 973.4.5 Rule sets and rule packs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983.4.6 State correlation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Chapter 4. Overview of IBM Tivoli NetView. . . . . . . . . . . . . . . . . . . . . . . . 1014.1 IBM Tivoli NetView (Integrated TCP/IP Services) . . . . . . . . . . . . . . . . . . 1024.2 NetView visualization components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1044.2.1 The NetView EUI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1054.2.2 NetView maps and submaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1064.2.3 The NetView event console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1124.2.4 The NetView Web console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1144.2.5 Smartsets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1174.2.6 How events are processed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1194.3 Supported platforms and installation notes . . . . . . . . . . . . . . . . . . . . . . . 1204.3.1 Supported operating systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214.3.2 Java Runtime Environments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214.3.3 AIX installation notes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214.3.4 Linux installation notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1234.4 Changes in NetView 7.1.3 and 7.1.4. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1244.4.1 New features and enhancements for Version 7.1.3 . . . . . . . . . . . . 1244.4.2 New features and enhancements for Version 7.1.4 . . . . . . . . . . . . 1264.4.3 First failure data capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1304.5 A closer look at the new functions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314.5.1 servmon daemon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1314.5.2 FFDC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Chapter 5. Overview of IBM Tivoli Switch Analyzer . . . . . . . . . . . . . . . . . 141Contentsv
5.1 The need for layer 2 network management. . . . . . . . . . . . . . . . . . . . . . . 1425.1.1 Open Systems Interconnection model . . . . . . . . . . . . . . . . . . . . . . 1425.1.2 Why layer 3 network management is not always sufficient. . . . . . . 1435.2 Features of IBM Tivoli Switch Analyzer V1.2.1 . . . . . . . . . . . . . . . . . . . . 1445.2.1 Daemons and processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1445.2.2 Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1465.2.3 Layer 2 status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1565.2.4 Integration
Event Management and Best PracticesBest Practices Tony Bhe Peter Glasmacher Jacqueline Meckwood Guilherme Pereira Michael Wallace Implement and use best practices for event processing Customize IBM Tivoli products for event processing Diagnose IBM Tivoli Enterprise Console, NetView, Switch Analyzer Front cover . Event Management and Best Practices June 2004 International
