Daten-Template: Incident Management
Ihr Incident Management Data Template
Dies ist unsere generische Process-Mining-Datenvorlage für Incident Management. Nutzen Sie unsere systemspezifischen Vorlagen für spezifischere Anleitungen.
Wählen Sie ein spezifisches System- Universelle Daten-Struktur für jedes Incident Management System
- Empfohlene Attribute und Aktivitäten für eine umfassende Analyse
- Anleitung zur Data-Extraktion, inklusive systemspezifischer Beispiele
Incident-Management-Attribute
| Name | Beschreibung | ||
|---|---|---|---|
Aktivitätsname ActivityName | Der Name einer spezifischen Geschäftsaktivität, eines Events oder einer Statusänderung, die während des Lebenszyklus des Incidents aufgetreten ist. | ||
Beschreibung Der Activity Name (Aktivitätsname) beschreibt einen einzelnen Schritt oder eine Aufgabe, die als Teil des Incident Management-Prozesses ausgeführt wird. Diese Aktivitäten stellen die Bausteine der Prozesslandkarte dar und können automatisierte System Events wie 'SLA Breach Detected' oder manuelle Benutzeraktionen wie 'Agent Assigned' oder 'Workaround Provided' umfassen. Für die Process Mining-Analyse ist dieses Attribut grundlegend. Es definiert die Knoten im Prozessgraphen und ermöglicht Analysten, den Workflow zu visualisieren, gängige Pfade zu identifizieren, Bottlenecks zu entdecken und Abweichungen vom Standardverfahren zu analysieren. Die Granularität und Klarheit der Aktivitätsnamen wirken sich direkt auf die Qualität und Tiefe der ableitbaren Insights aus. Warum es wichtig ist Dieses Attribut definiert die Schritte im Prozess und ermöglicht die Visualisierung und Analyse des Ablaufs des Incident-Lebenszyklus. Woher erhalten Oft abgeleitet aus einer Kombination von Event Logs, Audit Trails, Statusänderungsprotokollen oder Aufgabenbeschreibungsfeldern innerhalb des Incident Management Systems. Beispiele Incident erstelltGruppe zugewiesenIncident gelöstStatus geändert zu „Ausstehend“ | |||
Ereignis-Timestamp EventTimestamp | Das genaue Datum und die Uhrzeit, zu der eine spezifische Activity oder ein Event für einen Vorfall aufgetreten ist. | ||
Beschreibung Der Event Timestamp kennzeichnet den genauen Zeitpunkt, zu dem eine Aktivität stattgefunden hat. Jede Aktivität innerhalb des Lebenszyklus eines Incidents sollte einen entsprechenden Timestamp haben, um eine chronologische Abfolge von Ereignissen zu etablieren. Dieses Attribut ist entscheidend für jede zeitbasierte Process-Mining-Analyse. Es ermöglicht die Berechnung von Zykluszeiten zwischen Aktivitäten, die Dauer spezifischer Schritte und die Gesamtlösungszeit des Incidents. Durch die Analyse von Timestamps können Organisationen Engpässe identifizieren, die Einhaltung von SLAs messen und verstehen, wie sich die Prozessleistung im Zeitverlauf verändert. Es ist die Grundlage für die Berechnung wichtiger Leistungskennzahlen wie der durchschnittlichen Lösungszeit. Warum es wichtig ist Es liefert die chronologische Reihenfolge der Events, was unerlässlich ist, um Dauern, Bottlenecks zu berechnen und die Prozessperformance über die Zeit zu analysieren. Woher erhalten Gefunden in Event Logs, Audit History Tables oder als 'Last Modified' oder 'Creation Date' in spezifischen verknüpften Records. Beispiele 2023-10-26T10:00:00Z2024-01-15T14:35:10Z2023-11-01T09:12:45Z | |||
Incident-ID IncidentId | Der eindeutige Identifikator, der jedem Incident zugewiesen wird. Diese ID dient als Primärschlüssel, um einen Incident während seines gesamten Lebenszyklus zu verfolgen. | ||
Beschreibung Die Incident-ID ist ein eindeutiger alphanumerischer Code, der einen Incident von allen anderen im System unterscheidet. Sie wird bei der Erstellung eines neuen Incidents generiert und bleibt gleich, bis der Incident dauerhaft archiviert oder gelöscht wird. Im Process Mining ist die Incident-ID der Grundstein der Analyse und dient als Case ID. Sie ermöglicht es der Software, alle zugehörigen Events, Statusänderungen und Aktivitäten zu einer einzigen, kohärenten Prozessinstanz zusammenzufügen. Indem alle Events unter einer gemeinsamen Incident-ID gruppiert werden, können Analysten den End-to-End-Verlauf jedes Incidents, von der ersten Meldung bis zur endgültigen Lösung und Schließung, genau abbilden. Warum es wichtig ist Es ist unerlässlich, um alle zugehörigen Aktivitäten und Events miteinander zu verknüpfen und den End-to-End-Incident-Lebenszyklus für Process Mining zu rekonstruieren. Woher erhalten Dies ist der Primärschlüssel für einen Incident und wird typischerweise im Header oder Hauptdatensatz jeder Incident-Tabelle oder jedes Objekts gefunden. Beispiele INC0010032TICKET-84321789456123 | |||
Letzte Datenaktualisierung LastDataUpdate | Der Timestamp, der angibt, wann die Daten für diesen Datensatz zuletzt aus dem Quellsystem aktualisiert wurden. | ||
Beschreibung Der Timestamp der letzten Datenaktualisierung gibt an, wann die Daten zuletzt aus dem Quellsystem extrahiert oder synchronisiert wurden. Dies ist ein Metadatenfeld, das die Aktualität der analysierten Daten widerspiegelt. In der Process-Mining-Analyse ist dieses Attribut wichtig, um die Zeitnähe der generierten Erkenntnisse zu verstehen. Es hilft Benutzern zu verstehen, ob sie Echtzeitinformationen oder eine Momentaufnahme aus einem früheren Zeitpunkt betrachten. Dieser Kontext ist entscheidend für die Betriebsüberwachung und um sicherzustellen, dass Entscheidungen auf aktuellen, relevanten Daten basieren. Warum es wichtig ist Es zeigt die Aktualität der Daten an und stellt sicher, dass Analysten verstehen, wie aktuell ihre Prozessanalyse ist. Woher erhalten Dieser Wert wird typischerweise während des Daten-Extraktions- und Transformationsprozesses (ETL) generiert und jedem Datensatz zugewiesen. Beispiele 2023-10-26T23:59:59Z2024-01-16T04:00:10Z2023-11-02T01:05:00Z | |||
Quellsystem SourceSystem | Der Name oder die Kennung des Systems, aus dem die Incident-Daten extrahiert wurden. | ||
Beschreibung Das Quellsystem-Attribut identifiziert den Ursprung der Daten. In Umgebungen mit mehreren ITSM-Tools oder integrierten Systemen hilft dieses Feld, Datensätze aus verschiedenen Quellen zu unterscheiden. Obwohl es nicht direkt zum Zeichnen der Prozesskarte verwendet wird, ist dieses Attribut wertvoll für die Datenvalidierung und Governance. Es hilft Analysten dabei, Daten zu ihrem Ursprung zurückzuverfolgen, potenzielle Diskrepanzen zwischen Systemen zu verstehen und die Analyse zu segmentieren. Beispielsweise könnte man die Incident-Management-Prozesse vergleichen, die in zwei verschiedenen Systemen, wie ServiceNow und Jira, innerhalb derselben Organisation implementiert sind. Warum es wichtig ist Es liefert Kontext für den Ursprung der Daten, was für die Datenvalidierung, Fehlerbehebung und vergleichende Analyse in Multi-System-Umgebungen entscheidend ist. Woher erhalten Dies ist oft ein statischer Wert, der während des Daten-Extraktionsprozesses hinzugefügt wird oder ein Feld, das in den Tabellen des Quellsystems verfügbar ist. Beispiele ServiceNowJira Service ManagementBMC HelixZendesk | |||
Incident-Kategorie IncidentCategory | Die Klassifizierung des Incidents, oft in einer hierarchischen Struktur organisiert (z.B. Hardware > Laptop > Batterie). | ||
Beschreibung Die Incident-Kategorie bietet eine strukturierte Möglichkeit, Incidents nach ihrer Art zu klassifizieren. Dies ist typischerweise ein hierarchisches Feld, das eine schrittweise detailliertere Klassifizierung ermöglicht und hilft, Incidents für Berichterstattung und Analyse in logische Gruppen zu ordnen. Die Kategorisierung ist entscheidend für die Ursachen- und Trendanalyse. Durch die Analyse von Prozesskarten, die nach Kategorien gefiltert sind, können Organisationen wiederkehrende Probleme und Muster identifizieren, die mit bestimmten Incident-Typen verbunden sind. Beispielsweise kann der Lösungsprozess für einen „Software“-Incident ganz anders aussehen als für einen „Hardware“-Incident. Diese Daten bilden die Grundlage für KPIs wie die Genauigkeit der initialen Kategorisierung und die Wiederholungsrate von Incidents. Warum es wichtig ist Es ist wesentlich für die Grundursachenanalyse, die Identifizierung von Trends bei wiederkehrenden Incidents und das Verständnis, wie verschiedene Arten von Problemen gehandhabt werden. Woher erhalten Dies ist ein standardmäßiger, oft obligatorischer Satz von Feldern im Incident-Datensatz, der zur Klassifizierung verwendet wird. Beispiele Software | Anwendung | AnmeldeproblemHardware | Drucker | Reagiert nichtNetzwerk | WLAN | Langsame Verbindung | |||
Incident-Status IncidentStatus | Der aktuelle oder historische Status des Vorfalls innerhalb seines Lebenszyklus, wie z. B. 'New', 'In Progress' oder 'Closed'. | ||
Beschreibung Der Incident-Status gibt die Phase eines Incidents zu einem bestimmten Zeitpunkt an. Er bietet eine übergeordnete Sicht darauf, wo sich der Incident im Lösungsprozess befindet. Gängige Status sind neu, zugewiesen, in Bearbeitung, ausstehend, gelöst und geschlossen. Dieses Attribut ist grundlegend für die Prozessanalyse, da Statusänderungen oft die Aktivitäten in der Prozesskarte definieren. Die Analyse der Verweildauer in jedem Status hilft, Engpässe zu identifizieren, wie beispielsweise Incidents, die lange im Status „Ausstehend“ verharren. Es wird auch verwendet, um den Rückstand offener Incidents zu berechnen und den Fortschritt der Lösung zu verfolgen. Warum es wichtig ist Es ist entscheidend, um den Fortschritt des Incidents zu verstehen und wird oft verwendet, um Aktivitäten für die Prozesskarte zu generieren. Die Analyse der in jedem Status verbrachten Zeit hilft, Verzögerungen zu lokalisieren. Woher erhalten Typischerweise als primäres Feld im Hauptdatensatz des Incidents oder im History Log des Incidents verfügbar. Beispiele NeuIn BearbeitungWartet auf KundenResolvedGeschlossen | |||
Lösungsmethode ResolutionMethod | Ein Code, eine Kategorie oder Beschreibung, die angibt, wie der Incident letztendlich gelöst wurde. | ||
Beschreibung Die Lösungsmethode beschreibt das Ergebnis des Incidents und wie er gelöst wurde. Dies könnte ein standardisierter Code oder eine Freitextbeschreibung der ergriffenen Maßnahmen sein. Beispiele sind „Benutzerschulung“, „Software-Patch angewendet“, „Kein Fehler gefunden“ oder „Duplikat-Incident“. Dieses Attribut liefert entscheidenden Kontext für das Ende des Prozesses. Im Process Mining hilft die Analyse von Incidents nach ihrer Lösungsmethode, die Effektivität verschiedener Lösungen zu verstehen. Es kann Fälle hervorheben, die ohne eine tatsächliche Behebung geschlossen wurden, oder gemeinsame Lösungsmuster für spezifische Incident-Kategorien identifizieren, die dann genutzt werden können, um eine Wissensdatenbank aufzubauen und die First Contact Resolution-Raten zu verbessern. Warum es wichtig ist Es bietet Einblicke, wie Probleme gelöst werden, was entscheidend ist, um Möglichkeiten für Automatisierung, Wissensdatenbankverbesserungen und Schulungen zu identifizieren. Woher erhalten Typischerweise ein Feld, das vom Support-Agenten ausgefüllt wird, sobald ein Incident in den Status 'Resolved' oder 'Closed' verschoben wird. Beispiele Vom Service Desk gelöstKein Fehler gefundenDuplikatSoftware-Update bereitgestellt | |||
Meldekanal ReportingChannel | Die Methode oder der Kanal, über den der Incident gemeldet wurde, z.B. E-Mail, Telefon oder Self-Service-Portal. | ||
Beschreibung Der Meldekanal gibt die Quelle der Incident-Meldung an. Dieses Attribut verfolgt, wie Benutzer mit der Supportfunktion interagieren, sei es über direkte Kontaktmethoden wie Telefonanrufe oder automatisierte Methoden wie Systemüberwachungsalarme. Die Analyse des Prozesses auf Basis des Meldekanals kann wichtige Effizienzunterschiede aufzeigen. Beispielsweise könnten Incidents, die über ein Self-Service-Portal gemeldet werden, schneller gelöst werden, da sie oft strukturiertere Informationen im Voraus enthalten. Diese Analyse hilft Organisationen, ihre Supportkanäle zu optimieren und die Nutzung effizienterer Methoden zu fördern. Warum es wichtig ist Es hilft, die Effizienz und die Lösungspfade von Incidents basierend auf ihrer Quelle zu analysieren, was die Kanalstrategie und Ressourcenzuweisung beeinflussen kann. Woher erhalten Diese Information wird üblicherweise automatisch erfasst oder vom Agenten ausgewählt, wenn ein Incident erstellt wird. Beispiele E-MailTelefonSelf-Service-PortalSystemwarnung | |||
Priorität Priority | Die zugewiesene Prioritätsstufe des Incidents, die die Dringlichkeit und die Reihenfolge der Problembehebung bestimmt. | ||
Beschreibung Die Priorität ist ein Schlüsselattribut, das verwendet wird, um die relative Wichtigkeit eines Incidents und die erforderliche Reaktionsgeschwindigkeit zu bestimmen. Sie wird oft aus einer Kombination des Impacts und der Dringlichkeit eines Incidents abgeleitet. Die Stufen reichen typischerweise von kritisch bis niedrig. Im Process Mining ermöglicht die Analyse von Incidents nach Priorität ein tieferes Verständnis dafür, wie der Prozess verschiedene Dringlichkeitsstufen handhabt. Analysten können die Lösungszeiten für Incidents mit hoher im Vergleich zu niedriger Priorität vergleichen, um zu sehen, ob SLAs eingehalten und Ressourcen effektiv zugewiesen werden. Es hilft, Fragen zu beantworten wie: 'Bearbeiten wir unsere kritischsten Incidents tatsächlich am schnellsten?' Warum es wichtig ist Es ermöglicht die Analyse der Prozessperformance für unterschiedliche Dringlichkeitsstufen und hilft zu überprüfen, ob kritische Incidents schneller bearbeitet werden als unkritische. Woher erhalten Verfügbar als Standardfeld im Haupt-Incident-Datensatz. Es kann manuell festgelegt oder automatisch basierend auf Auswirkungen und Dringlichkeit berechnet werden. Beispiele 1 - Kritisch2 - Hoch3 - Mittel4 - Niedrig | |||
Schweregrad Severity | Das Maß für die geschäftlichen Auswirkungen des Incidents, welches angibt, wie stark Benutzer oder Dienste davon betroffen sind. | ||
Beschreibung Die Severity (Schweregrad) definiert das Ausmaß, in dem ein Incident das Geschäft beeinträchtigt. Sie beantwortet die Frage, wie gravierend das Problem ist, unabhängig von dessen Dringlichkeit. Zum Beispiel wäre ein systemweiter Ausfall ein Incident mit hohem Schweregrad, während ein kleiner kosmetischer Fehler einen geringen Schweregrad hätte. Die Analyse von Incidents nach Schweregrad hilft Unternehmen zu verstehen, welche Arten von Problemen die größten Störungen verursachen. Process Mining kann aufzeigen, ob Incidents mit hohem Schweregrad einem anderen, optimierten Lösungspfad folgen. Dieses Attribut ist entscheidend für die Ursachenanalyse und die Priorisierung von Ressourcen für ein proaktives Problem Management, um die schwerwiegendsten Incidents zu vermeiden. Warum es wichtig ist Es hilft bei der Segmentierung von Incidents, um zu verstehen, ob Probleme mit hoher Auswirkung anders oder effizienter gelöst werden als Probleme mit geringer Auswirkung. Woher erhalten Ein Standardfeld im Incident-Datensatz, das oft in Verbindung mit der Dringlichkeit zur Bestimmung der Priorität verwendet wird. Beispiele 1 - Hoch2 - Mittel3 - NiedrigKritisch | |||
Zugewiesene Gruppe AssignedGroup | Das Support-Team, die Warteschlange oder die Gruppe, die derzeit für die Bearbeitung des Incidents zuständig ist. | ||
Beschreibung Die Assigned Group (zugewiesene Gruppe) gibt an, welches Team zu einem bestimmten Zeitpunkt für den Incident verantwortlich ist. Incidents werden oft zwischen verschiedenen Gruppen weitergeleitet, wie dem Level 1 Service Desk, einem Level 2 Network Team oder einem Level 3 Application Support Team. Dieses Attribut ist unerlässlich für die Übergabe- und Workload-Analyse. Process Mining kann diese Daten nutzen, um den Fluss von Incidents zwischen Teams zu visualisieren, die Verweildauer in der Warteschlange jedes Teams zu messen und Bottlenecks zu identifizieren, die durch häufige Neuzuweisungen verursacht werden. Es hilft, Fragen zur Teameffizienz und Zusammenarbeit zu beantworten, und bildet die Grundlage für das Handoff and Reassignment Analysis Dashboard. Warum es wichtig ist Es ist entscheidend für die Analyse von Übergaben zwischen Teams, die Messung von Wartezeiten und das Verständnis der teamspezifischen Performance und Arbeitslastverteilung. Woher erhalten Diese Information wird typischerweise im Incident-Datensatz gespeichert und jedes Mal aktualisiert, wenn der Incident einem neuen Team zugewiesen wird. Beispiele Service DeskNetzwerkbetriebDatenbankverwaltungAnwendungssupport Tier 2 | |||
Zugewiesener Agent AssignedAgent | Der dem Incident zugewiesene Supportmitarbeiter oder Benutzer. | ||
Beschreibung Der Assigned Agent (zugewiesener Agent) identifiziert die spezifische Person, die für einen Incident verantwortlich ist. Während die Assigned Group auf das Team verweist, ist der Agent der individuelle Bearbeiter, der an der Lösung arbeitet. Dieses Attribut ermöglicht eine granularere Leistungs- und Workload-Analyse. Durch die Verfolgung von Zuweisungen auf Agenten-Ebene können Manager die individuelle Produktivität bewerten, Schulungsbedarfe identifizieren und eine ausgewogene Arbeitsverteilung sicherstellen. Im Process Mining kann es komplexe Neuzuweisungsmuster aufdecken, die auf Gruppen-Ebene möglicherweise verborgen bleiben, und hilft, individuelle Beiträge zu den Lösungszeiten zu verstehen. Warum es wichtig ist Es ermöglicht eine detaillierte Analyse der individuellen Arbeitslast, Performance und der Neuzuweisungsmuster innerhalb oder zwischen Teams. Woher erhalten Dieses Feld, das auf dem Haupt-Incident-Record zu finden ist, wird aktualisiert, wenn ein Agent die Zuständigkeit übernimmt oder der Incident ihm zugewiesen wird. Beispiele John SmithJane Doeagent.12345Emily Jones | |||
Anfragender Requester | Der Benutzer, Mitarbeiter oder das System, das den Incident initial gemeldet hat. | ||
Beschreibung Der Anfragende ist die Person, die das Problem erlebt und den Incident gemeldet hat. Dies könnte ein interner Mitarbeiter oder ein externer Kunde sein. Das Attribut kann auch die Abteilung oder Organisation des Anfragenden erfassen. Die Analyse von Incidents nach dem Anfragenden oder dessen Abteilung hilft zu erkennen, ob bestimmte Benutzergruppen mehr Probleme haben als andere. Dies kann auf Schulungsbedarf oder lokale Umgebungsprobleme hinweisen. Im Process Mining ermöglicht dies eine benutzerzentrierte Sicht auf den Supportprozess und hilft, das Erlebnis verschiedener Benutzerkohorten zu verstehen. Warum es wichtig ist Es ermöglicht eine benutzerzentrierte Analyse und hilft zu identifizieren, ob bestimmte Benutzer, Abteilungen oder Standorte eine überproportional hohe Anzahl an Incidents verursachen. Woher erhalten Ein Standardfeld im Incident-Datensatz, das typischerweise mit dem Benutzer gefüllt wird, der das Ticket erstellt hat oder in dessen Namen es erstellt wurde. Beispiele Alice JohnsonVertriebsabteilungb.williamsKunde-XYZ Corp | |||
Anzahl der Neuzuweisungen ReassignmentCount | Die Gesamtzahl der Male, in denen der Incident einem anderen Agenten oder einer anderen Gruppe neu zugewiesen wurde. | ||
Beschreibung Die Anzahl der Neu-Zuweisungen ist eine Metrik, die die Anzahl der Weiterleitungen verfolgt, die ein Incident während seines Lebenszyklus durchläuft. Eine hohe Anzahl deutet oft auf Ineffizienz, eine falsche Erstzuweisung oder mangelndes Wissen innerhalb der Support-Teams hin. Dies ist ein aussagekräftiges Attribut für die Process-Mining-Analyse. Während Process Mining Neu-Zuweisungen visualisieren kann, ermöglicht eine vorkalkulierte Anzahl einfaches Filtern und die Messung von KPIs. Es wird direkt im Dashboard für Handoff- und Neu-Zuweisungsanalysen verwendet und hilft, „Ping-Pong“-Szenarien zu identifizieren, bei denen Tickets zwischen Teams hin- und hergeschoben werden, was zu längeren Lösungszeiten und Benutzerfrustration führt. Warum es wichtig ist Diese Metrik quantifiziert direkt die Prozessineffizienz. Hohe Anzahlen korrelieren oft mit längeren Lösungszeiten und weisen auf Probleme beim Routing oder den Teamfähigkeiten hin. Woher erhalten Oft als standardmäßiges Zählerfeld im Incident-Datensatz verfügbar. Andernfalls kann es durch Zählen der Zuweisungsänderungen im Audit Log des Incidents abgeleitet werden. Beispiele 0135 | |||
Betroffener Service AffectedService | Der Business Service, die Anwendung oder das Configuration Item (CI), das vom Incident betroffen ist. | ||
Beschreibung Der Affected Service (betroffener Dienst) verknüpft einen Incident mit einer spezifischen Komponente in der IT-Infrastruktur, wie einer Geschäftsanwendung, einem Server oder einem Netzwerkgerät. Dies ist oft an eine Configuration Management Database (CMDB) gekoppelt. Dieses Attribut liefert einen kritischen Geschäftskontext für den Incident. Im Process Mining ermöglicht es eine Analyse, die sich auf die Zuverlässigkeit spezifischer Services oder Assets konzentriert. Organisationen können identifizieren, welche Services die meisten Incidents verursachen, deren Lösungsprozesse analysieren und die Anstrengungen im Problem Management priorisieren, um die Stabilität kritischer Business Services zu verbessern. Es ist ein Schlüsselelement, um die umfassenderen geschäftlichen Auswirkungen von IT-Incidents zu verstehen. Warum es wichtig ist Es verknüpft Incidents mit spezifischen Business Services oder IT-Komponenten und ermöglicht die Analyse, welche Services am anfälligsten für Probleme sind und welche Auswirkungen diese haben. Woher erhalten Typischerweise aus einer Configuration Management Database (CMDB) verknüpft oder aus einer Service-Katalogliste im Incident-Formular ausgewählt. Beispiele E-Mail-DiensteSAP ERP FinancialsCorporate VPNSRV-SQL-01 | |||
SLA-Status SlaStatus | Zeigt an, ob der Incident innerhalb seiner Service Level Agreement (SLA)-Ziele liegt, gefährdet ist oder diese verletzt hat. | ||
Beschreibung Der SLA-Status bietet einen Überblick über die Leistung eines Incidents im Vergleich zu vordefinierten Zeitzielen, wie Reaktionszeit oder Lösungszeit. Gängige Status sind „In Bearbeitung“, „Gefährdet“ oder „Verletzt“. Dieses Attribut ist ein direktes Maß für die Servicequalität und eine kritische Eingabe für das SLA Performance Overview Dashboard. Im Process Mining ermöglicht es den Vergleich von Prozessabläufen für verletzte und nicht verletzte Incidents. Dies hilft, die spezifischen Aktivitäten, Verzögerungen oder Wiederholungsschleifen zu identifizieren, die die Hauptursachen für SLA-Verletzungen sind, und ermöglicht gezielte Prozessverbesserungsmaßnahmen. Warum es wichtig ist Es ist ein direktes Maß für die Performance im Vergleich zu Zielen. Die Analyse verletzter Incidents hilft, die Prozessfehler zu identifizieren, die zu einer schlechten Servicebereitstellung führen. Woher erhalten Dies ist typischerweise ein berechnetes Feld innerhalb des ITSM-Tools, das dynamisch basierend auf der Priorität, dem Alter des Incidents und definierten SLA-Regeln aktualisiert wird. Beispiele In BearbeitungPausiertVerletztRisikobehaftet | |||
Incident-Management-Aktivitäten
| Aktivität | Beschreibung | ||
|---|---|---|---|
Ermittlung gestartet | Zeigt an, dass ein zugewiesener Agent aktiv mit der Bearbeitung des Incidents begonnen hat. Dies wird oft durch eine Statusänderung von 'Zugewiesen' oder 'Neu' zu 'In Bearbeitung' dargestellt. | ||
Warum es wichtig ist Dieser Meilenstein markiert das Ende der anfänglichen Wartezeit (Queue Time) und den Beginn der aktiven Arbeit. Die Messung der Zeit bis zu dieser Aktivität hilft, die Agentenkapazität und Reaktionsverzögerungen zu verstehen. Woher erhalten Dies wird typischerweise aus einer Statusänderung im History Log des Incidents abgeleitet. Erfassen Identifizieren Sie den Timestamp, wenn der Incident-Status zum ersten Mal zu 'In Progress', 'Work in Progress' oder einem ähnlichen aktiven Zustand wechselt. Ereignistyp inferred | |||
Gruppe zugewiesen | Dies bezeichnet die erste Zuweisung des Incidents an eine spezifische Support-Gruppe oder ein Team zur Untersuchung. Dies stellt die erste offizielle Übergabe und den Beginn des Resolution Workflow dar. | ||
Warum es wichtig ist Dies ist ein wichtiger Routing-Schritt. Verzögerungen bei der Zuweisung oder falsches Routing können die Lösungszeiten erheblich verlängern und unnötige Übergaben zwischen Teams verursachen. Woher erhalten Dieses Event wird aus dem Audit Log abgeleitet, indem die erste Instanz gefunden wird, bei der ein Feld wie 'Assignment Group' oder 'Support Team' belegt wird. Erfassen Identifizieren Sie den Timestamp der ersten Befüllung des Feldes 'Assignment Group' in der Incident-Historie. Ereignistyp inferred | |||
Incident erstellt | Diese Aktivität markiert die formelle Erstellung eines Incident-Eintrags im System. Sie stellt den eigentlichen Start des Incident-Lebenszyklus dar und erfasst den ursprünglichen Bericht eines Benutzers oder eines Überwachungstools. | ||
Warum es wichtig ist Dies ist das primäre Start-Event für den Prozess. Die Analyse der Zeit von der Erstellung bis zu anderen Meilensteinen ist grundlegend für die Messung der gesamten Lösungszeit und die Identifizierung von Front-End-Verzögerungen. Woher erhalten Dies wird typischerweise vom Creation Timestamp der primären Incident- oder Ticket-Tabelle im Quellsystem erfasst. Erfassen Verwenden Sie den Timestamp 'create_date' oder 'submitted_on' aus dem Hauptdatensatz des Incidents. Ereignistyp explicit | |||
Incident gelöst | Diese Aktivität zeigt an, dass eine Lösung implementiert wurde und der Dienst für den Benutzer als wiederhergestellt gilt. Es ist ein kritischer Meilenstein, der typischerweise die SLA-Lösungszeit stoppt. | ||
Warum es wichtig ist Dies ist ein wichtiger Endpunkt zur Messung der Lösungszeit. Die Zeitspanne zwischen diesem und dem endgültigen Abschluss ist wichtig, um Nutzerbestätigungsverzögerungen oder Auto-Closure-Richtlinien zu analysieren. Woher erhalten Dies ist fast immer ein explizites Event, das erfasst wird, wenn ein Agent den Status des Incidents auf 'Resolved' oder 'Solved' ändert. Erfassen Verwenden Sie den Timestamp aus dem Audit Log, wenn der Incident-Status auf 'Resolved' aktualisiert wird. Ereignistyp explicit | |||
Incident geschlossen | Die letzte Activity im Lebenszyklus, bei der der Vorfall formal geschlossen wird und zu einem schreibgeschützten historischen Datensatz wird. Dies geschieht oft automatisch nach einer festgelegten Zeitspanne im Status 'Resolved'. | ||
Warum es wichtig ist Dies markiert das absolute Ende des Incident-Lebenszyklus. Die Analyse der gesamten Zeit von der Erstellung bis zum Abschluss bietet eine vollständige Sicht auf die Prozessdauer, einschließlich etwaiger administrativer Zeiträume nach der Lösung. Woher erhalten Erfasst durch eine explizite Statusänderung zu 'Geschlossen' im Incident-Historien-Log, welches einen finalen Timestamp liefert. Erfassen Verwenden Sie den Timestamp aus dem Audit Log, wenn der Incident-Status auf 'Closed' aktualisiert wird. Ereignistyp explicit | |||
Incident wiedereröffnet | Tritt auf, wenn ein zuvor gelöster Incident in einen aktiven Zustand zurückversetzt wird. Dies geschieht in der Regel, wenn der Benutzer meldet, dass das Problem erneut aufgetreten ist oder die bereitgestellte Lösung nicht effektiv war. | ||
Warum es wichtig ist Eine hohe Wiedereröffnungsrate weist auf Probleme mit der Lösungsqualität, unvollständiger Ursachenanalyse oder vorzeitiger Schließung hin. Dies ist eine kritische Metrik für die Nacharbeitsanalyse. Woher erhalten Abgeleitet aus dem Statusverlauf, wenn der Status eines Incidents von 'Gelöst' oder 'Geschlossen' zurück in einen aktiven Status wie 'In Bearbeitung' wechselt. Erfassen Erkennen Sie einen Statuswechsel von einem gelösten zu einem offenen Zustand und erfassen Sie den Timestamp dieser Änderung. Ereignistyp inferred | |||
SLA Breach Detected | Ein kalkuliertes Event, das auftritt, wenn die Zeit zur Reaktion oder Behebung eines Incidents die in den Service Level Agreements (SLA) definierten Ziele überschreitet. Dies ist keine manuelle Benutzeraktion, sondern das Ergebnis verstrichener Zeit. | ||
Warum es wichtig ist SLA Breaches (SLA-Verletzungen) sind ein primärer Key Performance Indicator (KPI). Die Analyse, wann und warum sie auftreten, ist entscheidend, um die Servicebereitstellung zu verbessern und vertragliche Verpflichtungen zu erfüllen. Woher erhalten Dieses Event ist nicht direkt in Logs enthalten, sondern wird berechnet, indem Event-Timestamps mit den SLA-Zielfristen verglichen werden, die im Incident-Datensatz gespeichert sind. Erfassen Vergleichen Sie den Resolution-Timestamp mit dem 'SLA Due Date'. Erfolgt die Resolution später, wird ein Breach-Event zum Zeitpunkt des SLA Due Date erstellt. Ereignistyp calculated | |||
Agent zugewiesen | Diese Aktivität markiert den Zeitpunkt, an dem ein bestimmter Agent die Verantwortung für den Incident übernimmt oder zugewiesen bekommt. Sie stellt den Übergang von der Teamverantwortung zur individuellen Verantwortlichkeit dar. | ||
Warum es wichtig ist Die Verfolgung der Agentenzuweisung hilft bei der Analyse individueller Arbeitslasten, der Performance und der Identifizierung von Bottlenecks, bei denen Incidents auf einen verfügbaren Agenten warten. Woher erhalten Erfasst durch die Nachverfolgung von Änderungen im Feld 'Assignee' oder 'Assigned To' im Audit-Log des Incidents. Erfassen Verwenden Sie den Timestamp aus dem Audit Log, wenn das Feld 'Assignee' erstmals belegt oder einem neuen Benutzer zugewiesen wird. Ereignistyp explicit | |||
Arbeit wieder aufgenommen | Kennzeichnet den Punkt, an dem ein Incident, der angehalten war, wieder aktiviert wird. Dies geschieht typischerweise, wenn die benötigten Informationen eingehen, wodurch der Support-Agent seine Arbeit fortsetzen kann. | ||
Warum es wichtig ist Diese Aktivität ist entscheidend für die genaue Messung der Dauer externer Wartezeiten. Die Zeit zwischen „Ausstehend“ und „Fortgesetzt“ zeigt, wie lange der Prozess aufgrund externer Faktoren ins Stocken geraten ist. Woher erhalten Abgeleitet aus dem Statusverlauf des Incidents, wenn er von einem 'Ausstehend'-Status zurück in einen 'In Bearbeitung'-Status oder einen anderen aktiven Status wechselt. Erfassen Erfassen Sie den Timestamp, wenn der Status eines Incidents von einem 'ausstehenden' in einen aktiven Zustand zurückwechselt. Ereignistyp inferred | |||
Incident kategorisiert | Dies beschreibt die Klassifizierung des Incidents, die die Festlegung seiner Kategorie, seines Typs und seines Elements umfasst. Es ist ein entscheidender Triage-Schritt, der dabei hilft, den Incident richtig weiterzuleiten und die korrekten Lösungsverfahren anzuwenden. | ||
Warum es wichtig ist Eine falsche Kategorisierung kann zu Verzögerungen, Neuzuweisungen und verzerrter Berichterstattung führen. Die Analyse dieser Aktivität hilft, die Qualität des anfänglichen Triage-Prozesses und dessen Auswirkungen auf die Lösungseffizienz zu bewerten. Woher erhalten Dieses Event wird in der Regel aus dem Audit Log oder der Historientabelle abgeleitet, indem der erste Zeitpunkt identifiziert wird, zu dem kategorisierungsbezogene Felder belegt werden. Erfassen Erkennen Sie die erste Aktualisierung von Feldern wie 'Kategorie', 'Unterkategorie' oder 'Configuration Item', nachdem der Incident erstellt wurde. Ereignistyp inferred | |||
Incident neu zugewiesen | Dies beschreibt die Weiterleitung eines Incidents von einer Support-Gruppe oder einem Agenten an eine andere. Diese Übergabe erfolgt oft, wenn das ursprüngliche Team das Problem nicht lösen kann und andere Fachkenntnisse erforderlich sind. | ||
Warum es wichtig ist Häufige Reassignments sind ein starker Indikator für Prozesseffizienz, fehlerhaftes initiales Routing oder Wissenslücken im Team. Die Analyse dieser Handoffs ist entscheidend, um den Resolution Flow zu optimieren. Woher erhalten Abgeleitet aus dem Audit Log durch Erkennung einer Änderung im Feld 'Zuweisungsgruppe' oder 'Bearbeiter' nach der ursprünglichen Zuweisung. Erfassen Erfassen Sie ein neues Event bei jeder Änderung des Feldes 'Assignment Group', nachdem es initial befüllt wurde. Ereignistyp inferred | |||
Incident priorisiert | Diese Aktivität findet statt, wenn die Priorität des Incidents festgelegt wird, typischerweise basierend auf dessen Auswirkungen und Dringlichkeit. Die Prioritätsstufe legt die Zielzeiten für Reaktion und Lösung gemäß den Service Level Agreements (SLAs) fest. | ||
Warum es wichtig ist Die Priorisierung beeinflusst direkt die Ressourcenzuweisung und die Reihenfolge, in der Incidents bearbeitet werden. Die Analyse dieses Schritts hilft sicherzustellen, dass kritische Incidents zuerst bearbeitet werden und SLAs eingehalten werden. Woher erhalten Dies wird erfasst, indem der Audit Trail auf Änderungen an den Feldern 'Priority' oder 'Severity' überwacht wird. Erfassen Verwenden Sie den Timestamp aus dem Audit Log, der mit der Aktualisierung des Feldes 'Priority' verknüpft ist. Ereignistyp explicit | |||
Status geändert zu „Ausstehend“ | Tritt auf, wenn die Bearbeitung eines Incidents pausiert wird, meist weil auf Informationen vom Benutzer, einem Lieferanten oder einer anderen externen Abhängigkeit gewartet wird. Dieser Zustand unterbricht in der Regel die SLA-Frist. | ||
Warum es wichtig ist Die Analyse der in einem ausstehenden Status verbrachten Zeit hebt externe Abhängigkeiten und Verzögerungen hervor. Übermäßige Wartezeiten können interne Ineffizienzen verschleiern und Lösungszeitmetriken verfälschen. Woher erhalten Abgeleitet aus dem Statusverlauf des Incidents, wenn er in einen Status wie 'Ausstehend', 'Angehalten' oder 'Wartet auf Benutzer' geändert wird. Erfassen Erfassen Sie den Timestamp jedes Mal, wenn der Incident-Status in einen der definierten 'ausstehenden' Zustände wechselt. Ereignistyp inferred | |||
Workaround bereitgestellt | Dies bedeutet, dass eine temporäre Lösung an den Benutzer kommuniziert wurde, um die Dienstfunktionalität wiederherzustellen. Dies mildert die geschäftlichen Auswirkungen, während eine dauerhafte Lösung entwickelt wird. | ||
Warum es wichtig ist Die Bereitstellung eines Workarounds ist ein wichtiger Schritt im Major Incident Management. Sie ermöglicht die separate Verfolgung der Zeit bis zur Entschärfung von der Zeit bis zur dauerhaften Lösung. Woher erhalten Dies kann ein expliziter Status oder ein Flag sein, wird aber oft aus Agentennotizen oder Kommunikationsprotokollen durch Keyword-Analyse abgeleitet. Erfassen Identifizieren Sie dies durch einen spezifischen Status wie 'Workaround Provided' oder durch die Suche nach Keywords wie 'Workaround' oder 'Temporary Fix' in Agenten-Kommentaren. Ereignistyp inferred | |||
Extraktionsleitfäden
Extraktionsmethoden variieren je nach System. Für detaillierte Anweisungen,