Gestão de eventos formulário de definição de clustering de alerta baseado em marcador

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • O formulário para criar ou modificar uma definição de cluster de alerta baseada em marcador exibe informações detalhadas sobre a definição.

    Tabela 1. Formulário de definição de clustering de alerta baseado em marcador
    Campo Descrição
    Nome Nome da definição de cluster de alerta.

    Os nomes de definição devem ser exclusivos.
    Ativo Selecione para ativar a definição. Esta opção é selecionada por padrão.
    Ordem A ordem pela qual as definições são testadas para alertas de entrada. Esses com valores de Ordem mais baixos são testados primeiro.

    Quando um alerta corresponde a um dos filtros de definições, ele continua pesquisando mais definições.

    Valor padrão = 1000
    Domínio O domínio no qual o registro atual foi criado. Somente leitura.
    Descrição Insira uma descrição opcional da definição de cluster de alerta.
    Filtro Defina as condições que os alertas de entrada devem atender para serem medidos pelos marcadores da definição de cluster de alerta. Se os marcadores corresponderem a alertas existentes no sistema e estiverem dentro do valor de Intervalo de tempo de clustering (minutos), os alertas de entrada se associarão aos alertas existentes para formar um grupo de alertas.
    Depois de configurar o filtro, você pode clicar no botão Visualizar para ver quantos alertas existentes correspondem à condição do filtro.
    Nota:
    • Os alertas correspondentes não são incluídos automaticamente em um grupo de alertas. Os alertas serão agrupados somente se eles tiverem marcadores de cluster de alerta correspondentes.
    • Os parâmetros de filtro fazem distinção entre maiúsculas e minúsculas por padrão. Para desabilitar a diferenciação de maiúsculas e minúsculas, defina o parâmetro sa_analytics.correlation_case_sensitive como falso.
    • Você também pode configurar os campos de alerta a serem excluídos da pesquisa, usando a propriedade sn_em_tbac.tag_excluded_alert_fields. Por padrão, os seguintes são excluídos por esta propriedade:
      • tipo
      • event_class
    Substituir descrição do grupo As descrições de grupo padrão começam com um prefixo "Grupo de alertas", seguido pela descrição do alerta primário no grupo. Você pode substituir esta descrição de grupo marcando a caixa de seleção Substituir descrição de grupo. Em seguida, no campo Descrição personalizada, digite uma descrição. Esta descrição é usada como a descrição dos grupos criados por esta definição de cluster de alerta.
    Nota:
    Você não poderá salvar o formulário se tiver deixado o campo Descrição personalizada em branco ou com o texto padrão "Grupo de alertas".
    Intervalo de tempo de clusters (minutos) O tempo máximo, em minutos, permitido entre alertas para que os alertas sejam agrupados. Por exemplo, um valor de 60 indica que um alerta gerado em 60 minutos do alerta mais recente está incluído no grupo de alertas. Qualquer alerta gerado após esse horário não será incluído no grupo de alertas.

    Valor padrão = 60

    Valores permitidos = 0-1440
    Definições de clusters de alertas baseados em marcadores M2M Selecione os marcadores de cluster de alerta a serem atribuídos à definição de cluster de alerta. Os alertas que atendem aos critérios especificados nos marcadores selecionados são incluídos no grupo de alertas.

    As opções disponíveis são os marcadores criados na página Marcadores de cluster de alerta baseado em marcador.