Agrupamento de alertas baseado em regras
O agrupamento de alertas baseado em regras é criado por regras de correlação de alertas. Essas regras permitem classificar manualmente os alertas como primários ou secundários e estabelecer um relacionamento entre eles. Use regras de correlação de alertas para agrupar alertas relacionados. A regra é executada somente para novos alertas ou alertas cujo status mudou de fechado/oscilando para aberto/reaberto.
Se o agrupamento de alertas baseado em regras for aplicado, os alertas secundários indicando que as máquinas virtuais ou aplicações no servidor off-line também estão inoperantes serão agrupados no alerta primário, que é o alerta raiz do servidor que está off-line. Para exibir o agrupamento de alertas baseado em regras na lista Expressa, consulte Exibição de links entre alertas em grupos de alertas baseados em regras.
Alertas primários e secundários
- Alerta primário: identifica a causa raiz de um grupo de alertas e representa seus alertas secundários.
- Alerta secundário: relacionado ao mesmo problema, eles são agrupados sob o alerta primário. A finalidade dos alertas secundários é determinar quais alertas suprimir, reduzindo o ruído do alerta e permitindo que você se concentre no alerta primário.
Como os alertas primários e secundários interagem
No agrupamento de alertas baseado em regras, um dos alertas reais é designado como o alerta primário. As condições do filtro de alerta primário e secundário especificam quais alertas são classificados como primários e quais como secundários. Os critérios de filtro são aplicados à tabela Alerta [em_alert].
Neste agrupamento de alertas, os alertas primários e secundários estão visíveis, mas os alertas secundários são agrupados sob o alerta primário. A propriedade mantém o alerta secundário aberto mesmo quando o primário é fechado. para manual ou baseado em regras (evt_mgmt.rule_based_manual_closure) controla se os alertas secundários permanecem abertos ou são fechados quando o alerta primário é fechado.
Se a propriedade não estiver selecionada (ou seja, definida como Não), depois que o alerta primário for encerrado, a referência primária será removida dos alertas secundários (o agrupamento será encerrado) e os alertas secundários serão encerrados e se tornarão autônomos. Se você marcar a caixa de seleção da propriedade (ou seja, defini-la como Sim) e o alerta primário for encerrado, a referência primária será removida dos alertas secundários (o agrupamento será desfeito), fazendo com que eles se tornem alertas abertos autônomos.
Quando a severidade do alerta primário é alterada para Encerrado, os alertas secundários também são definidos como Encerrados, a menos que façam parte de outros grupos em que o alerta primário ainda não esteja definido como Encerrado.
Hierarquia de alertas
Somente um nível de alertas secundários é permitido. Em situações em que um alerta secundário tem seu próprio alerta secundário, a aplicação Gestão de eventos nivela a hierarquia para preservar apenas dois níveis.
Por exemplo, suponha que o alerta A seja o alerta primário e o alerta B seja o alerta secundário. Se o alerta C se tornar um alerta secundário para o alerta B, a aplicação nivelará a hierarquia para que A permaneça o primário e B e C se tornem alertas secundários irmãos, um nível abaixo de A.
- Regra 1 (com um valor de pedido de 1): B se torna um alerta primário para A.
- Regra 2 (com um valor de pedido de 2): A se torna um alerta primário para C e D.
- Regra 3 (com um valor de Ordem de 3): E se torna um alerta primário para A.
Quando os alertas B, C, D e E são acionados, todos eles aparecem na lista de alertas separadamente porque não há correlações entre eles.
- A regra 1 torna A um alerta secundário sob o alerta B.
- A regra 2 cria alertas secundários C e D sob o alerta A.
- A regra 3 torna A um alerta secundário em E, fornecendo ao alerta A dois alertas primários acima dele na hierarquia.
Portanto, se todos os alertas forem acionados, somente B e E serão exibidos na lista de alertas, indicados como alertas primários.