IT透視三步曲（AMT 王艷編譯）

圖1展示了經(jīng)典的銀行事件模式，即竊賊們?cè)诟`取口令進(jìn)入帳戶后所做的事情。我們可以看到在帳戶上的事件活動(dòng)模式，在一段很短的時(shí)間里，發(fā)生了先是登陸，緊接著是密碼修改，然后是一個(gè)新的自動(dòng)支付命令。圖2中這種模式的兩個(gè)例子發(fā)生在不同的背景下。第一個(gè)例子中，三件事是直接一個(gè)接一個(gè)發(fā)生的。而在第二個(gè)例子中，三件事兩兩之間會(huì)有一次帳戶余額查詢。事實(shí)上，在三件事之間還可能會(huì)出現(xiàn)其它的一些操作，但是只要這三個(gè)關(guān)鍵事件在很短的時(shí)間里都出現(xiàn)了，我們就應(yīng)該把它們標(biāo)記為可疑事件。例如，一個(gè)竊賊可能會(huì)先登陸修改密碼后退出。然后過(guò)一會(huì)又會(huì)登陸執(zhí)行一個(gè)新的自動(dòng)支付命令。為何中間間隔的時(shí)間如此之短？因?yàn)楦`賊們想要在別人注意到帳戶被盜之前快點(diǎn)執(zhí)行轉(zhuǎn)移支付。

圖1展示了針對(duì)可疑的銀行活動(dòng)監(jiān)控器應(yīng)該能做點(diǎn)什么。它必須能夠檢測(cè)一系列不同背景的連環(huán)（此例中為三個(gè)）關(guān)鍵事件，如果它們之間的時(shí)間間隔很短，那么創(chuàng)建一個(gè)警報(bào)事件。監(jiān)控器監(jiān)控到可疑的帳戶活動(dòng)時(shí)，我們要求其要檢測(cè)出不同背景和不同時(shí)機(jī)下的一些與可疑事件相類(lèi)似的事件模式。在一些撲朔迷離的情況里，可疑的活動(dòng)可能會(huì)同時(shí)涉及到好幾個(gè)帳戶，因此這時(shí)的事件模式不會(huì)是在一個(gè)時(shí)間間隔下的簡(jiǎn)單事件序列，而是長(zhǎng)期在幾個(gè)帳戶之間所進(jìn)行的并發(fā)且相互關(guān)聯(lián)的一系列事件。然而，針對(duì)檢測(cè)網(wǎng)上銀行盜竊案例和核實(shí)轉(zhuǎn)帳來(lái)說(shuō)，在我們圖上所展示的這種監(jiān)控簡(jiǎn)單系列事件模式的能力已經(jīng)算是一個(gè)不錯(cuò)的開(kāi)始了。

針對(duì)該銀行案例，我想指出一點(diǎn)，一個(gè)事件模式通常包括：

• 幾個(gè)事件，它們中的一些可能共享公用的數(shù)據(jù)元素。
• 這些事件可能需要以一個(gè)特定的順序出現(xiàn)，可能允許不屬于這種模式的事件在模式事件兩兩之間出現(xiàn)。
• 此模式中的一些事件可能獨(dú)立發(fā)生，也可能以任意的順序發(fā)生，而模式的另一些事件可能要先有前奏才會(huì)發(fā)生。
• 可能在一定的時(shí)間間隔后，一些事件一定會(huì)發(fā)生，并且這些事件會(huì)對(duì)數(shù)據(jù)做一些限制。

事件的模式可能會(huì)變得十分復(fù)雜。而且要完整地表示它們需要很詳盡地描述。因此IT透視的第一步是要求制定一條精確的事件模式描述。

軟件科學(xué)家們?cè)谟贸绦蛟O(shè)計(jì)語(yǔ)言來(lái)做與此相似的事情已有四十年了。計(jì)算機(jī)科學(xué)家們也幾乎一直在開(kāi)辟事件和時(shí)間選擇邏輯的理論。因此這一步并不難，不需要一些非常新的科學(xué)。只要去做就好了。

第二步：檢測(cè)事件模式

電子商務(wù)正卯足了勁加速前進(jìn)。在過(guò)去，企業(yè)之間要花上一個(gè)星期或更多時(shí)間來(lái)進(jìn)行交易，而現(xiàn)在只要數(shù)個(gè)小時(shí)就可以了。因此企業(yè)的管理也要與時(shí)俱進(jìn)，而且需要靠這些工具來(lái)實(shí)現(xiàn)。

在全球事件云中，事件模式匹配是模式檢測(cè)所需的最基本的技術(shù)。這項(xiàng)技術(shù)至今仍在襁褓之中。業(yè)務(wù)活動(dòng)監(jiān)控的趨勢(shì)是：制定模式檢測(cè)引擎來(lái)監(jiān)控涉及到幾個(gè)事件（包括順序事件、間隔事件以及并發(fā)事件）的復(fù)雜模式。對(duì)一些應(yīng)用軟件來(lái)說(shuō)，在調(diào)度過(guò)程（所謂的執(zhí)行的可量測(cè)性）中，模式匹配執(zhí)行的速度變得至關(guān)重要?？闪繙y(cè)性包含了三個(gè)維度，待檢測(cè)模式的數(shù)量，事件進(jìn)入事件云所伴隨的速度，以及時(shí)間。

事件模式檢測(cè)引擎的一個(gè)好的基準(zhǔn)目標(biāo)可能會(huì)是每秒以逐千個(gè)模式的速度進(jìn)行測(cè)試：即監(jiān)控一千個(gè)不同事件模式的能力，這些模式的復(fù)雜性與我們的銀行案例相似，即一個(gè)事件云以每秒一千個(gè)的速度在產(chǎn)生新事件。

這是一個(gè)極富挑戰(zhàn)性的基準(zhǔn)，但是這樣的技術(shù)就要成功了。同時(shí)，許多地區(qū)的電子商務(wù)都可能通過(guò)性能略遜一疇的事件模式檢測(cè)引擎來(lái)實(shí)現(xiàn)IT透視。

第三步：事件模式提取

IT透視的這一步是向前——或向上的一次最大飛越！

就執(zhí)行事件處理的新人來(lái)說(shuō)，事件模式可能會(huì)亮出足夠的復(fù)雜度來(lái)挑釁新人們的理解能力。而他們?yōu)楹螒?yīng)該需要真正去了解這些模式——因?yàn)樗麄冊(cè)诠芾順I(yè)務(wù)時(shí)感到太吃力了！要實(shí)現(xiàn)IT透視，就要將IT層里的事件模式所包含的信息傳達(dá)給企業(yè)中各司其職的人員。傳達(dá)前要將事件模式的數(shù)據(jù)聚集并進(jìn)行提取。

例如，圖2展示了一個(gè)交易案例，其涉及到四個(gè)企業(yè)，一個(gè)買(mǎi)方，一個(gè)賣(mài)方，一個(gè)拍賣(mài)機(jī)構(gòu)以及一個(gè)結(jié)算機(jī)構(gòu)。本質(zhì)上我們是在分析一個(gè)電子商場(chǎng)或電子供應(yīng)鏈中的事件活動(dòng)。這些事件包括買(mǎi)方向拍賣(mài)機(jī)構(gòu)提出產(chǎn)品申請(qǐng)。賣(mài)方單獨(dú)進(jìn)入拍賣(mài)機(jī)構(gòu)的目錄。這兩個(gè)事件使拍賣(mài)機(jī)構(gòu)能告知買(mǎi)方可能符合其要求的產(chǎn)品。因此，買(mǎi)方可以向賣(mài)方發(fā)送一個(gè)接受信息并向拍賣(mài)機(jī)構(gòu)詢價(jià)。然后拍賣(mài)機(jī)構(gòu)向賣(mài)方和結(jié)算機(jī)構(gòu)發(fā)送開(kāi)始結(jié)算事件，這樣就進(jìn)入了交易的結(jié)算階段，這之后，由結(jié)算機(jī)構(gòu)充當(dāng)中間人來(lái)完成買(mǎi)方和賣(mài)方之間產(chǎn)品和款項(xiàng)的交換。這個(gè)模式案例展示了交易層事件之間的因果和時(shí)間關(guān)系。

您真的不想看到象這樣的事件模式，是嗎？

四個(gè)企業(yè)中任何一個(gè)企業(yè)的業(yè)務(wù)管理人員都不想在一次談判中就完成所有的交流事件。實(shí)際上若牽涉到幾個(gè)買(mǎi)方和賣(mài)方，詳情可能會(huì)比這個(gè)案例還要復(fù)雜得多。針對(duì)這種交易，管理者們想各自提取與他們?cè)诠镜穆氊?zé)相關(guān)的事件模式。就拿CFO來(lái)說(shuō)吧，他可能只想知道產(chǎn)品的資料，價(jià)錢(qián)，支付額。而且他可能想在交易成功發(fā)生時(shí)，將每一次交易的數(shù)據(jù)都匯入到他的總分析表中。另一方面，就這一相同事件模式來(lái)說(shuō)一個(gè)IT管理者可能要的資料與上面截然不同，他想要的是對(duì)此交易提供的IT支持方面的時(shí)間資料，尤其是出現(xiàn)了如果另一方對(duì)緩慢的回復(fù)有所不滿的情況。

提取的任務(wù)是按各管理者所需將此交易層的相關(guān)事件分別傳送給他們。我們通過(guò)創(chuàng)建新的事件（根據(jù)交易層模式計(jì)算而來(lái)，并且它們涵蓋了提取資料）來(lái)實(shí)現(xiàn)這個(gè)任務(wù)。并且我們把它們視作較高層事件。圖4展示了提取的概念。

那些幾近完成但似乎慢下來(lái)或拋錨的交易的提取也同樣重要。例如，一次交易進(jìn)行到結(jié)算階段但是花的時(shí)間遠(yuǎn)遠(yuǎn)超過(guò)正常的完成時(shí)間。原因何在？是不是有些交易事件顯示出現(xiàn)了一個(gè)競(jìng)爭(zhēng)者以一個(gè)較好的價(jià)錢(qián)進(jìn)入交易？通過(guò)向買(mǎi)方提供折扣是否能完成結(jié)算？這是一個(gè)依賴于事件檢測(cè)模式的實(shí)時(shí)交易。

事件模式集聚和提取其功能是為了向您大致介紹您所需要的IT層事件云。為使同一事件模式案例的不同提取資料能在同一時(shí)間傳達(dá)給不同的人，我們傳送事件模式提取請(qǐng)求的技術(shù)必須要很靈活。

目前事件模式集聚和提取的技術(shù)尚在雛形階段。人們還要求它有處理復(fù)雜事件的能力，這樣它在功能上真的會(huì)遠(yuǎn)遠(yuǎn)超越BAM。我相信這樣的初始產(chǎn)品可能會(huì)在2004年的秋天問(wèn)世。

總而言之，IT透視的三個(gè)步驟是：

1．詳細(xì)描述事件模式。
2．可升級(jí)執(zhí)行型事件模式匹配。
3．事件模式集聚和提取。

我們即將要實(shí)現(xiàn)IT透視，并且實(shí)現(xiàn)的速度快得令人匪夷所思。2003年，我們還在討論，要制定出商業(yè)工具來(lái)實(shí)現(xiàn)基于事件處理的IT透視，這到底需要花多少時(shí)間，我們還以為整個(gè)行業(yè)起碼要過(guò)個(gè)十年才能走完這三步?，F(xiàn)在，到了2004年，看來(lái)這三步五年內(nèi)就能大功告成了。光陰荏苒，不久的一天，我們都能買(mǎi)到IT透視產(chǎn)品，并用它們來(lái)深入了解我們當(dāng)代所有的企業(yè)都在做何忙碌。