ServiceNow Certified Implementation Specialist - Event Management (CIS-EM)
ServiceNow 事件管理实施专家认证(ITOM 模块),考查事件处理规则(Event Rules:初步过滤和字段映射)vs 告警规则(Alert Rules:关联 CI 和创建告警)、连接器配置(REST API/Email/JDBC Connector)、事件转换映射(Transform Mapping)和 SIEM 集成(SolarWinds/Nagios/SCOM),60 题/90 分钟/及格 70%,$250 考试费。
CIS-EM 面向做 IT 运维监控集成的 ServiceNow 工程师 — Event Rules/Alert Rules 的配置和第三方监控工具(SolarWinds/Nagios/SCOM)与 ServiceNow 的集成是核心考点。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
ServiceNow CIS-EM(Event Management)验证在 ServiceNow ITOM 套件中实施事件管理模块的能力。60 题 / 90 分钟,及格线 70%(42 题),费用 $250 USD,需先持有 CSA。
Event Management 的核心功能是将第三方监控工具产生的海量事件集中到 ServiceNow,通过规则引擎过滤、分类、关联 CMDB CI,最终生成有意义的告警(Alert)并自动创建 ITSM Incident。事件处理流水线是考试最重要的知识点:原始事件(Event)→ Event Rule 过滤和字段映射 → Alert Rule 判断 → Alert 创建 → CI 关联 → Alert 聚合(Grouping)→ Incident 创建。
和 ITSM 的 Incident Management 的区别:ITSM 的 Incident 是人工报告的故障("我的电脑上不了网"),EM 的 Alert 是监控系统自动发现的异常("服务器 CPU 使用率 > 95% 持续 5 分钟"),EM 可以自动将 Alert 升级为 ITSM Incident。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 ServiceNow Certified Implementation Specialist - EM(CIS-EM)认证
- 能够独立配置 ServiceNow Event Management:Connector 接入、Event Rules 过滤、Alert Rules 管理
- 建立 SolarWinds/Nagios 等第三方监控工具与 ServiceNow ITSM 的自动化集成(告警 → Incident 自动创建)
- 配置 Alert Grouping 和 Deduplication 减少告警噪音,降低 NOC 团队的工单处理压力
考试详情
适合谁考
适合人群
- ServiceNow ITOM 实施顾问(ServiceNow ITOM Consultant)负责 IT 基础架构监控和运维可见性平台搭建
- IT 运维工程师(IT Operations Engineer)熟悉 SolarWinds/Nagios/SCOM 监控工具,希望将监控数据集成到 ServiceNow
- 已持有 CSA 认证,具备网络或基础架构管理背景、希望进入 ServiceNow ITOM 专业方向的从业者
- NOC(网络运营中心)工程师希望用 ServiceNow Event Management 替代现有告警管理平台
开始前最好先有
- 建议先持有 ServiceNow CSA 认证
- 了解 ITOM 架构概念(MID Server 的基本原理)
- 6-12 个月 ServiceNow Event Management 模块配置或管理经验
- 熟悉第三方监控工具(SolarWinds/Nagios/SCOM/Zabbix)的告警机制
- 了解 CMDB CI 类型和网络/服务器监控基础知识
值不值得考?职业价值
ServiceNow CIS-EM 持证人的薪资区间、对应岗位、以及真实的职业影响。
CIS-EM 在 ServiceNow ITOM 实施项目中是核心角色 — 大型企业(银行、电信)的运维团队同时使用多套监控工具(SolarWinds 监控网络、SCOM 监控 Windows、Nagios/Zabbix 监控 Linux),Event Management 将这些工具的告警统一收进 ServiceNow 实现单一告警平台。
在澳洲,CIS-EM 持证者的需求集中在 ServiceNow 合作伙伴的 ITOM Practice(Accenture、DXC、Fujitsu)。日薪合同制 $800-1100 AUD。
不适合的人群:做 ITSM 流程配置的 ServiceNow 顾问 — EM 需要理解监控系统的告警机制和网络协议(SNMP/REST API/Syslog)。没有 IT 运维/基础架构背景的人。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
3 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:事件处理流水线(2-3 周)
在 PDI 上手动创建 Event 记录,观察 Event Rule 的匹配和处理。理解 Event Rule 的评估顺序(按 Order 字段),Stop Processing 标志的作用。配置 Alert Rule 将 Event 转换为 Alert,设置 Alert Severity(Critical/Major/Minor/Warning/Info)。Alert State Flow(Open → Acknowledged → Closing → Closed)。
第二阶段:Connector + 凭据 + Transform Mapping(2-3 周)
配置 REST API Connector(最常用,接收 JSON 格式事件)。理解 MID Server 在 EM 中的角色(Connector 通过 MID Server 拉取外部监控数据)。Transform Map 将外部事件格式映射到 ServiceNow em_event 表字段。Flapping Detection(抖动检测,短时间内反复触发/恢复的告警合并处理)。
第三阶段:AIOps + CMDB 关联 + 模考(2 周)
Alert Grouping(将同一 CI 或相关 CI 的多个 Alert 聚合为一组)。Alert 自动创建 ITSM Incident 的触发条件配置。Health Log Analytics(AIOps 功能,ML 分析日志异常)的概念。Operations Dashboard 的使用。Now Learning CIS-EM 路径 + 模考 2 次。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
Event Rule 和 Alert Rule 的区别是考试第一大考点 — Event Rule 做初步过滤和字段映射(还在 Event 层),Alert Rule 决定是否创建 Alert 并关联 CI(升级到 Alert 层)。Connector 配置也出了 4-5 道,REST API Connector 和 Email Connector 的选型场景要理解清楚。
有运维背景理解 EM 概念很快(Event → Alert → Incident 的流程和传统 NOC 的工作方式一致),但 ServiceNow 平台的配置方式需要学习。Flapping Detection 考了 2 道,我之前没注意这个功能。
同赛道认证对比
| ServiceNow CIS-EM | ServiceNow CSA | ServiceNow CIS-ITSM | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 专业级 | 助理级 | 专业级 |
| 考试费 | $250 | $200 | $250 |
| 时长 | 90 min | 90 min | 90 min |
| 题量 | 60 | 60 | 60 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
60 题 90 分钟,1.5 分钟/题。事件处理流水线的顺序题快速作答 — Event → Event Rule → Alert Rule → Alert → Incident。
AIOps/ML 相关的题不多(2-3 道),只需理解概念(Alert Grouping/Health Log Analytics),不考具体配置。
PDI 的 Event Management 功能可能需要额外激活插件(com.snc.itom.eventmgmt),确保在练习前已激活。
**Event Rule vs Alert Rule 混淆** — Event Rule 处理原始 Event(过滤噪声、映射字段),Alert Rule 处理过滤后的 Event(创建 Alert、关联 CI、设置 Severity)。两者是流水线关系,不是替代关系。
**Connector 的 MID Server 绑定遗忘** — 大部分 Connector(REST API/JDBC/SNMP)需要通过 MID Server 访问外部监控系统。如果 MID Server 配置错误,Connector 无法拉取事件。
**Alert Severity 不等于 Incident Priority** — Alert 的 Severity(Critical/Major/Minor)和自动创建的 Incident 的 Priority 通过映射规则关联,不是一对一的。需要理解 Alert-to-Incident 的映射配置。