Configurar agregação de alertas baseada em padrões

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Configure o Aprendiz de agregação de alertas ( Aprendiz de agregaçãode alertas de análise de serviço - diariamente), que é um trabalho off-line executado diariamente para processar alertas anteriores. O Aprendiz de agregação de alertas identifica padrões de alertas relacionados usando uma combinação de técnicas baseadas em padrões e probabilísticas.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Por Que e Quando Desempenhar Esta Tarefa

    • O Aprendiz de agregação de alertas rastreia adições e remoções manuais de alertas de grupos de alertas automatizados. Em ocorrências subsequentes dos mesmos tipos de alertas com correlação de tempo semelhante, este formulário de feedback é aplicado. A agregação de alertas repete automaticamente as ações de adição ou remoção que eram feitas manualmente. Se você desfazer adições ou remoções de alertas anteriores a esses grupos de alertas, o processo automático será ajustado de acordo.

      Você pode revisar as adições e remoções de usuários de alertas de um grupo de alertas automatizado e desfazer qualquer ação para que ela não seja repetida automaticamente pela agregação de alertas.

    • O Aprendiz de agregação de alertas também aprende os padrões de alertas em grupos de alertas manuais. Mais tarde, quando novos fluxos de alertas chegarem, a agregação de alertas formará automaticamente grupos de alertas automáticos de acordo com esses padrões.

    Procedimento

    1. Navegar até Todos > Event Management > Administração > Propriedades de correlação de alertas.
    2. Habilite as seguintes propriedades.
      • Habilite a agregação de alertas para grupos automatizados, do CMDB e baseados em texto (sa_analytics.aggregation_enabled).
        Nota:
        Quando desabilitado, desabilita todos os outros grupos.
      • Habilite a agregação de alertas para grupos automatizados baseados em IC (sa_analytics.specific_patterns_enabled).
      • Habilite a agregação de alertas para grupos automatizados baseados em classe de IC (sa_analytics.generalized_patterns_enabled). A habilitação da agregação de alertas por classe de IC não é compatível com instâncias separadas por domínio.
      • Propriedade do CMDB usada para agrupar alertas na agregação de alertas (somente para agrupamento baseado em IC) (sa_analytics.agg.learner_group_by_property).
        Nota:
        • Ao configurar esta propriedade, certifique-se de usar o nome da coluna da tabela CMDB de IC (por exemplo, location) e não o rótulo da coluna (Location).
        • Certifique-se de que o campo CMDB não contenha valores excessivamente exclusivos (como name, sys_ide assim por diante). Em caso afirmativo, o número de alertas criados em um grupo é limitado, o que impede que o trabalho crie um padrão.
    3. Opcional: Navegar até Todos > Propriedades do sistema > Todas as Propriedades.
    4. Opcional: Na página Propriedades do sistema, selecione a propriedade sa_analytics.agg.learner_period_days.
      Se a propriedade não existir, será necessário defini-la.
    5. Opcional: Defina o valor da propriedade como o número de dias pelos quais você deseja que o trabalho de aprendizagem de agregação de alertas seja processado.
      Valores maiores que 30 dias aumentam o tempo de processamento do trabalho. Use valores de 30 dias ou menos para obter melhor desempenho.