イベント管理は以下の3つを目的としています。

• イベントを検出し、その意味を判断し、適切な管理プロセスに繋ぐ
• 日常の運用管理を自動化する手助けをする
• パフォーマンスや動作を監視し、SLAや期待されているレベルとの比較基準を提供する

サービスオペレーションを構成する多数のプロセス（変更管理やインシデント管理など）に必要な情報を提供しているため、イベント管理は、サービスオペレーションの基本となるプロセスです。

ここからはイベント管理のステップについてご説明します。

 

【検出】

イベントが発生すると通常監視ツールが検知し、ITサービス管理者へ通知する必要があるかどうかを判断（フィルタリング）します。監視ツールに事前に無視しても構わないイベントなどを設定し、自動的に判断させるようにするとITサービス管理者の負荷を削減することができます。

【イベントの分類】

監視ツールから検知されたイベントを、3つの重要性（情報・警告・例外事項）に分類し、各重要性に合わせた手続きをとります。

 

【記録】

情報として分類されたイベントは基本的に、人の介入による対応を必要としません。例えば、登録されているバッチ処理が正常に実行された時などイベントを情報として認識し、通常、システムログやサービスログにその記録が保存され、設定された期間保持されます。記録されたイベントを収集し、統計情報としての使用や、調査するための参考資料として活用することができます。

【対応】

警告とはインシデントのような例外処理として監視ツールが自動的に認識はしないものの、人、プロセス、またはツールによって対応策をどうするか決定する必要があるイベントです。警告として分類されたイベントは、その状況に応じて以下の対応が考えられます。

・自動応答
既に対応方法が存在する警告に対し、人的介入を用いず、監視ツールなどに決められた対応を自動的に実行させることである。

・アラート及び人的介入
自動応答するよう設定されていないイベントが検知された場合、監視ツールからアラートを上げ、人的介入を要請することがあります。適切な人に適切に対応されるよう、アラートには必要な情報すべてが含まれます。アラートがあがるとその他プロセス（インシデント管理、問題管理、変更管理など）に移行すべきか、特別な作業は必要無いのかを人的に判断します。

【エスカレーション】

例外とは一般的にサービスまたはシステムが正常に運用されていないイベントを指します。例外と分類されたイベントは、その性質に応じてインシデント管理、問題管理または変更管理のプロセスにエスカレーションされます。組織で定める定義や方針によってインシデント管理プロセスに入れるべきか、問題や変更管理プロセスに入れるべきか判断されます。

【レビュー】

イベント結果を記録し、それらが適切に処理されたかをレビューします。ここでは、発生するすべてのイベントを分析するわけではなく、イベントの種類や傾向、イベント数などを数値化し、適切に分析することにより今後の改善活動に繋がります。イベント管理とインシデント管理などのその他管理プロセスとの引き渡しが適切に行われたかなどもレビューするとより良いプロセスが構築されます。

 

【クローズ】

適切に処置、レビューされたイベントは、対応中から完了にステータスを変更します。完了したイベントは結果情報として今後の改善活動に必要なインプットとして保管されます。イベントをクローズする権限は適切な管理者に付与し、クローズする前にイベント対応に抜け漏れが無いよう確認し、品質を担保することがより良い改善につながっていくでしょう。

イベント管理はサービスオペレーションの基本になる重要なプロセスです。それを支える監視ツールや管理ルールなどを適切に利用・構築することが必要です。提供するITサービスを維持・改善していくためにも、イベント管理プロセスを適切に構築し、運用することが鍵となっていきます。