威脅告警

廣義的威脅告警是指由于自然因素、人為因素或軟硬件本身的原因，對信息系統造成危害的事件，或對社會造成負面影響的威脅。對于態勢感知（專業版）來講，威脅告警泛指根據大數據分析檢測出的，對用戶資產產生威脅的安全事件。

事件

事件是一個廣泛的概念，可以包括告警，但不限于此，它可以是系統正常操作的一部分，也可以是異常或錯誤。在運維和安全領域，事件通常指的是已經發生并需要被關注、調查和處理的問題或故障。事件可能由一條或多條告警觸發，也可能由其他因素（如用戶操作、系統日志等）引發。

事件的目的是為了記錄、分析、報告或審計，通常用于記錄和報告系統的歷史行為，以便于分析和審計。

告警

告警是運維中的一種異常信號的通知，通常是由監控系統或安全設備在檢測到系統或網絡中的異常情況時自動生成的。例如，當服務器的CPU使用率超過90%時，系統可能會發出告警。這些異常情況可能包括系統故障、安全威脅或性能瓶頸等。

告警通常有明確的指示性，能夠明確指出異常發生的位置、類型和影響。同時，告警可以按照嚴重程度來進行分類，如緊急、重要、一般等，以便運維人員根據告警的嚴重程度來決定哪些需要優先處理。

告警的目的是及時通知相關人員，以便能夠迅速響應并采取措施解決問題。

當態勢感知（專業版）檢測到的云資源中存在的異常情況（例如，某個惡意IP對資產攻擊、資產已被入侵等）時，將以告警的形式將威脅信息展示在態勢感知（專業版）告警管理界面中。

告警和事件關系說明

本部分介紹告警和事件的含義、區別，告警轉事件的原因和告警關聯事件的原因。

• 告警和事件的含義與區別

  類別	告警	事件
  定義	告警是運維中的一種異常信號的通知，通常是由監控系統或安全設備在檢測到系統或網絡中的異常情況時自動生成的。例如，當服務器的CPU使用率超過90%時，系統可能會發出告警。這些異常情況可能包括系統故障、安全威脅或性能瓶頸等。 告警通常有明確的指示性，能夠明確指出異常發生的位置、類型和影響。同時，告警可以按照嚴重程度來進行分類，如緊急、重要、一般等，以便運維人員根據告警的嚴重程度來決定哪些需要優先處理。 告警的目的是及時通知相關人員，以便能夠迅速響應并采取措施解決問題。	事件是一個更廣泛的概念，可以包括告警，但不限于此。事件可以是系統正常操作的一部分，也可以是異常或錯誤。在運維和安全領域，事件通常指的是已經發生并需要被關注、調查和處理的問題或故障。事件可能由一條或多條告警觸發，也可能由其他因素（如用戶操作、系統日志等）引發。 事件的目的更廣泛，可以是為了記錄、分析、報告或審計，通常用于記錄和報告系統的歷史行為，以便于分析和審計。
  處理流程	告警的處理流程通常包括接收、確認、分析、響應和關閉等步驟。當監控系統發出告警時，運維人員首先需要確認告警的真實性，然后分析告警的原因和影響范圍，最后采取相應的措施來解決問題，并關閉告警。	事件的處理流程則更加復雜和全面。除了包含告警處理流程中的各個環節外，事件處理還需要進行事件調查、影響評估、風險分析、制定應急計劃、執行應急響應、事后總結等步驟。事件處理的目標是徹底解決問題，防止類似事件再次發生，并減少事件對業務的影響。
  重要性與緊急程度	告警一般需要立即評估和響應。 每條告警的緊急程度和重要性各不相同，取決于告警的類型、級別和影響的范圍。一些告警可能只是簡單的提醒或預警，而另一些告警則可能表示系統已經遭受嚴重攻擊或面臨重大故障風險。	事件可能需要記錄、分析或在某些情況下采取行動，但不一定需要立即響應。 事件通常比告警具有更高的重要性和緊急程度。因為事件已經發生并產生了實際的影響，需要立即采取措施來應對和解決問題。如果事件得不到及時處理，可能會給組織帶來重大的經濟損失或聲譽損害。

• 告警轉事件或關聯事件的原因

  告警通常是在系統或服務出現異常或潛在故障時產生的通知。這些異常可能會直接影響業務的正常運行，因此告警需要被及時處理，以防止業務異常。告警通常需要采取相應的措施來清除故障，否則可能會因為這些異常或故障引起業務的異常。

  事件則是在系統或服務在正常運行狀態下產生的通知，它可能涉及到一些重要的狀態變化，但不一定會引起業務異常。因此，事件一般不需要進行處理，主要用于幫助分析、定位問題。

  類別	說明
  告警轉事件原因	當告警的嚴重性達到一定程度，或者持續出現，或者其影響范圍廣泛時，它可能不再僅僅是一個需要關注的信號，也可能表明系統或網絡中存在一個持續性的問題，此時，它已經演變成了一個需要立即處理的事件，這種情況下，可以將告警轉化為事件來處理，以便深入調查問題的根源，并采取相應的措施來徹底解決。通常告警轉事件的原因有以下幾個方面： 信息聚合與分類 告警通常是對某個特定條件或閾值被違反的即時響應。隨著時間的推移，大量的告警可能會被觸發，如果直接處理這些獨立的告警，可能會變得非常混亂和低效。將這些告警聚合成事件，可以幫助相關人員根據告警的類型、來源、影響等維度進行分類，從而更有效地處理它們。 簡化工作流程 告警到事件的轉換過程，通常伴隨著對告警的過濾、去重、聚合等處理。這些處理使得原本可能觸發多個相似告警的情況，被整合為一個更具代表性的事件。這樣不僅減少了處理單個告警的工作量，也使得處理過程更加條理清晰，便于跟蹤和記錄。 提升問題解決效率 將告警轉換為事件后，由于事件通常提供了比單個告警更全面的上下文信息，因此相關人員可以更容易地識別出問題的根本原因，有助于更快地定位問題，并采取有效的解決措施。 便于歷史回顧與趨勢分析 事件記錄了問題的發生、發展、解決的全過程，這為后續的問題預防、系統優化等提供了寶貴的歷史數據。通過對事件進行趨勢分析，可以發現系統中潛在的薄弱環節，提前采取措施進行改進。 增強跨部門協作 在大型組織中，不同的部門可能需要共同參與問題的處理。將告警轉換為事件后，可以更容易地在不同部門之間共享相關信息，促進跨部門協作，提高問題解決的效率。 總而言之，將告警轉換為事件助于簡化工作流程、提升問題解決效率、便于歷史回顧與趨勢分析。
  告警關聯事件原因	告警關聯事件是監控和故障管理中的一個重要環節，它涉及到將多個獨立但可能相互關聯的事件或告警組合起來，以便更好地理解問題的根源和范圍，從而更有效地進行故障排查和響應。通常告警關聯事件的原因有以下幾個方面： 依賴關系 在復雜的系統中，各個組件之間往往存在復雜的依賴關系。當一個組件出現故障時，可能會影響依賴它的其他組件的正常工作，進而引發一系列告警。例如，在微服務架構中，一個服務的崩潰可能導致調用該服務的其他服務也出現問題。 資源共享 當多個系統或服務共享同一資源（如服務器、數據庫、網絡設備等）時，該資源的問題可能導致多個系統或服務同時發出告警。例如，共享數據庫服務器的性能下降可能會觸發多個依賴該數據庫的應用程序的性能告警。 連鎖反應 某些情況下，一個初始的故障可能觸發一系列連鎖反應，導致更多的組件或系統受到影響。這種連鎖反應可能由于系統設計不當、錯誤處理機制不完善或資源限制（如內存泄漏導致的性能下降）等原因引起。 配置錯誤 配置錯誤或不一致的配置可能導致系統行為異常，進而觸發多個看似不相關的告警。例如，錯誤的路由配置可能導致流量被錯誤地路由到不穩定的服務器，從而引發多個與性能相關的告警。 軟件缺陷 軟件中的缺陷（如bug）可能導致程序在特定條件下表現異常，并觸發告警。如果這些缺陷影響了多個組件或系統，則可能引發多個關聯告警。 外部因素 外部因素如自然災害（如地震、洪水）、網絡攻擊、基礎設施故障（如電力中斷、網絡中斷）等也可能導致多個系統或組件同時出現問題，并觸發大量告警。