Ergänzungsautomatisierung erstellen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Die Anreicherung von Warnungen umfasst die Umwandlung von Rohereignissen aus Überwachungstools in ein Standardformat, um die automatisierte Gruppierung und Reaktion zu unterstützen. Dies umfasst das Extrahieren von Feldern aus langen Warnungsnutzlasten oder deren Zusammenfassung in einem standardisierten Format. Darüber hinaus können Sie Tags erstellen, bei denen es sich um Metadaten handelt, die Warnungen hinzugefügt werden, um das Filtern und Gruppieren zu erleichtern.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin oder srm_responder

    Warum und wann dieser Vorgang ausgeführt wird

    Beim Extrahieren werden Werte aus Ereignis-Payloadfeldern abgerufen und in Warnungsausgabefelder eingefügt, während beim Verfassen mehrere Warnungsfelder in einem kombiniert werden. Weitere Informationen finden Sie unter Warnungsfelder werden extrahiert und erstellt.

    Für Anwender, die mit der klassischen Ereignismanagement -Experience vertraut sind, bietet die Ergänzungsautomatisierung eine einfachere Schnittstelle mit besserer Teams-Unterstützung für den Transformations- und Erstellungsschritt von Ereignisregeln. Ereignisregeln bieten erweiterte Funktionen wie Bindungsüberschreibungen, die derzeit nur für Administratoren verfügbar sind. Administratoren können Warnungen auch mit Zuordnungsregeln für Ereignisfelder anreichern. Darüber hinaus wird durch das Ändern von Warnungswerten eine Ereignisfeld-Zuordnungsregel mit dem Zuordnungstyp Feld zuordnen und Wert transformieren (Einzelfeld)erstellt. Diese Regel ist mit der Ereignisregel verknüpft und wird gleichzeitig ausgeführt. Dies ermöglicht eine optimierte Zuordnung und Transformation von Ereignisdaten, um Warnungen zu ergänzen.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Service Operations-Arbeitsbereich.
    2. Wählen Sie in der primären Navigation das Symbol für Warnungsautomatisierung ( Symbol für Warnungsautomatisierung).
    3. Wählen Sie auf der Seite „Warnungsautomatisierung“ unter „Automatisierungstypen“die Option Erweiternaus.
      Die Seite „Warnungen ergänzen“ wird angezeigt.
      Automatisierungsseite anreichern
    4. Wählen Sie Automatisierung erstellen aus.
    5. Geben Sie im Feld Automatisierungsname den Namen der Automatisierung für die Anreicherung von Warnungen ein.
      Seite „Regel ergänzen“, auf der Sie einen Automatisierungsnamen angeben sowie Bedingungen und Aktionen festlegen können.
    6. Aktivieren Sie die Automatisierung, indem Sie das Kontrollkästchen Aktiv aktivieren.
    7. Um mit der Ausführung anderer Ergänzungsautomatisierungen mit denselben Filterbedingungen fortzufahren, nachdem diese Automatisierung ausgeführt wurde, aktivieren Sie den Umschalter „Ausführung von Automatisierungen dieses Typs fortsetzen“.
      Wenn diese Option deaktiviert ist, wird die Ausführung zusätzlicher Automatisierungen dieses Typs beendet, nachdem diese Automatisierung einmal ausgeführt wurde. Wenn die Automatisierung von einem Administrator verwaltet wird, wird die Ausführung von Automatisierungen im Besitz des Administrators beendet, die Ausführung von Automatisierungen im Besitz anderer Zuweisungsgruppen wird jedoch fortgesetzt.
    8. Richten Sie im Abschnitt Wenn diese Bedingungen erfüllt sind Filterkriterien ein, um die Warnungen zu identifizieren, die Sie ergänzen möchten.

      Die Bedingung wird anhand des vom Quellüberwachungssystem empfangenen Rohereignisses ausgewertet und berücksichtigt keine angereicherten Felder.

      1. Wählen Sie im Feldmenü Zuweisungsgruppe die Zuweisungsgruppe aus, um zu bestimmen, welche Teamwarnungen die Automatisierung auslösen.

        Die Zuweisungsgruppe stellt ein bestimmtes Team dar, das für die Bearbeitung bestimmter Warnungen verantwortlich ist. Durch die Auswahl einer Zuweisungsgruppe stellen Sie sicher, dass nur die Warnungen, die diesem bestimmten Team zugewiesen sind, die Automatisierung auslösen. Auf diese Weise ist die Automatisierung zielgerichtet und wird nur für relevante Warnungen aktiviert, die dem ausgewählten Team zugeordnet sind.

        Hinweis:
        • Wenn Sie bei der Instanz mit einer Administratorrolle angemeldet sind (evt_mgmt_admin), sind alle Zuweisungsgruppen verfügbar. Darüber hinaus können Sie Alle Gruppen auswählen, um das Generieren von Warnungen für eine der verfügbaren Gruppen zu aktivieren.
        • Wenn Sie ein Operator sind, ist nur die Gruppe verfügbar, der Sie angehören.
        • Nur Mitglieder der ausgewählten Gruppe oder Administratoren können die Automatisierung aktualisieren oder löschen.
      2. Wählen Sie im Menü Quelle das Überwachungstool aus, von dem aus die Warnung generiert wird.
      3. Richten Sie die Bedingungen ein, indem Sie das Feld, den Operator und den Feldwert auswählen. Fügen Sie dann weitere Bedingungen mit ODER- oder UND-Operatoren hinzu.

        Um einen weiteren Satz Bedingungen hinzuzufügen, wählen Sie + Neuer Bedingungssatzaus. Sie können ein zusätzliches Informationsfeld auch manuell hinzufügen, wenn Sie es nicht in der Dropdown-Liste sehen.

    9. Wählen Sie im Abschnitt Dann wenden Sie die folgenden Aktionen an die Automatisierungsaktionen aus, die von dieser Automatisierung ausgelöst werden.
      Sie müssen mindestens eine Aktion auswählen.
      • Warnungsfelder extrahieren: Ruft Warnungsfeldwerte aus der Ereignisnutzlast ab und platziert sie in einem Warnungsausgabefeld.
      • Felder kopieren oder verfassen: Führt verschiedene Warnungsfelder, Tags und Text zusammen, um eine zusammengesetzte Warnungsausgabe zu generieren.
      • Warnungswerte ändern: Ordnet den aktuellen Wert von Warnungsfeldern den angegebenen neuen Werten zu.
      OptionAktion
      Warnungsfelder extrahieren
      1. Aktivieren Sie den Umschalter Warnungsfelder extrahieren.
      2. Wählen Sie im Menü Quelleingabefeld einen Wert aus. Das Menü zeigt die Standardereignisfelder, zusätzliche Informationen und Tags an. Anschließend wird der Feldwert angezeigt. Sie können auch manuell einen Feldnamen eingeben, der nicht angezeigt wird, und Ihren eigenen Wert hinzufügen.

        Im Beispielfenster für Quellereignisse wird ein Beispiel für die neuesten Ereignisse in Ihrem System angezeigt. Wenn keine Ereignisse angezeigt werden, können Sie ein Ereignis erstellen (siehe Event-Regel erstellen oder bearbeiten) .

      3. Erstellen Sie im Feld Regulärer Ausdruck einen regulären Ausdruck, um den Wert zu extrahieren, den Sie extrahieren möchten.
        Hinweis:
        Sie können Text unter Verwendung der Formatkonventionen für reguläre Ausdrücke (reguläre Ausdrücke) verfassen. Verwenden Sie eine oder mehrere Erfassungsgruppen mit Klammern, um Teile der Eingabe zu extrahieren. Erfassungsgruppen im regulären Ausdruck werden Warnungsausgaben basierend auf der Reihenfolge zugewiesen, in der sie angezeigt werden. Der reguläre Ausdruck muss mit der gesamten Eingabe übereinstimmen. Erwägen Sie daher, Ihren regulären Ausdruck an beiden Enden mit .* zu versehen. Beispiel: (\w+).acme.com.* erfasst den Hostnamen in einem vollqualifizierten Domänennamen. Der Parser für die Regex-Engine ist mit Perl-kompatiblen regulären Ausdrücken (PCRE) kompatibel.

      4. Wählen Sie im Feld Warnungsausgabe ein Warnungsfeld oder ein Warnungs-Tag aus. Sie können auch manuell einen neuen Feldnamen eingeben.

        Wenn Sie ein Warnungs-Tag hinzufügen möchten, aktivieren Sie das Kontrollkästchen Als Tag festlegen.
        Tipp:
        Erstellen Sie Warnungs-Tags, die zur einfacheren Filterung und Gruppierung von Quellen gemeinsam genutzt werden können, z. B. die sofort einsatzbereiten Tags.
        Warnungsfelder extrahieren
      5. Wählen Sie Vorschau mehrerer Ereignisse anzeigen, um sicherzustellen, dass der reguläre Ausdruck (regulärer Ausdruck) allgemeingültig genug ist, um Werte in vielen Beispielen korrekt zu extrahieren.
        Hinweis:
        Diese Option ist nur verfügbar, wenn Beispielquellereignisse verfügbar sind und mit dem regulären Ausdrucksfilter übereinstimmen.
        Zeigen Sie eine Vorschau der extrahierten Werte aus mehreren Ereignisse an

      Um zusätzliche Felder für die Extraktion einzubeziehen, wählen Sie + Felder hinzufügen aus.
      Felder kopieren oder verfassen
      1. Aktivieren Sie den Umschalter Felder kopieren oder verfassen.
      2. Wählen Sie im Menü Quelleingabefeld Warnungsfelder und/oder Warnungs-Tags aus, geben Sie manuell einen Feldnamen ein, oder fügen Sie sogar Freitext hinzu. Warnungsfelder werden im Syntaxformat ${field} angezeigt.
      3. Wählen Sie im Feld Warnungsausgabe ein vorhandenes Warnungsfeld oder Warnungs-Tag aus, oder geben Sie manuell ein Warnungsfeld ein. Das Feld Warnungsausgabe ist eine angereicherte Warnung, die die zusammengesetzten Warnungsdaten enthält.
        Um die Gruppierung zu erleichtern, können Sie ein Tag aus dem Menü auswählen. Wenn Sie den neuen Feldnamen als Tag für die Gruppierung verwenden möchten, aktivieren Sie das Kontrollkästchen Als Tag festlegen.
        Tipp:
        Erstellen Sie Warnungs-Tags, die zur einfacheren Filterung und Gruppierung von Quellen gemeinsam genutzt werden können, z. B. die sofort einsatzbereiten Tags.
        Warnungsfelder zusammenstellen

      Um zusätzliche Warnungsdatenzusammensetzungen zu erstellen, wählen Sie + Felder hinzufügen aus.
      Warnungswerte ändern
      1. Aktivieren Sie den Umschalter Change alert values ( Warnungswerte ändern).
      2. Geben Sie im Feld Warnungsfelddas Feld in der Warnung ein, für das Sie Werte zuordnen möchten.
      3. Geben Sie im Feld Von Wert den ursprünglichen Wert in das Warnungsfeld ein, das Sie ändern möchten.
      4. Geben Sie im Feld Bis Wert den neuen Wert ein, der den ursprünglichen Wert im Warnungsfeld ersetzt.

        Um weitere Feldwerte hinzuzufügen, wählen Sie + Wert hinzufügen. Um weitere Felder zur Zuordnung hinzuzufügen, wählen Sie + Feld zu Zuordnung hinzufügenaus.
      Verbessern Sie die Identifizierung von Configuration Items (CI).

      Mit dieser Option können Sie ein Configuration Item (CI) mit einer Warnung verknüpfen, um sicherzustellen, dass Warnungen den richtigen IT-Komponenten zugeordnet werden, um die Transparenz zu verbessern und Probleme schneller zu lösen.

      Wenn ein Ereignis im System ankommt, sind Schlüsselfelder wie „Knoten“ im Ereignisdatensatz verfügbar. Wenn das CI ein Host ist, muss das Feld Knoten einen Wert enthalten. Host-CIs umfassen Computer, Betriebssysteme, Switches, Router oder alle CI-Typen oder Klassen, die die Tabelle [cmdb_ci_hardware] erweitern. Dies bedeutet, dass es sich um eine Hardwarekomponente handeln muss.

      Da das Feld „Knoten“ im CI selbst nicht vorhanden ist, vergleicht das System den Knotenwert aus dem Ereignis mit Attributen im Feld „Zusätzliche Informationen“ des Host-CI, z. B. Name, vollständig qualifizierter Domänenname (FQDN), IP-Adresse oder MAC-Adresse . Wenn eine Übereinstimmung gefunden wird, wird die Warnung mit dem entsprechenden CI verknüpft.

      1. Wenn das CI ein Host ist:
        1. Wählen Sie die CI-Klasse aus, um die Warnung zu binden oder zuzuordnen.

          Wählen Sie Elemente anzeigen aus, um die Liste der verfügbaren CI-Klassen anzuzeigen, und wählen Sie dann eine CI-Klasse aus der Liste aus.

        2. Stellen Sie sicher, dass das Feld Knoten in der Warnung korrekt ausgefüllt ist, um ein Host-CI zu identifizieren.

          Wählen Sie Anzeigen, wo der Feldwert Knoten angezeigt wird.

        3. Stellen Sie sicher, dass im Feld Zusätzliche Informationen der Warnung mindestens ein CI-Attribut vorhanden ist.
          Hinweis:
          Damit die CI-Identifizierung erfolgreich ist, stellen Sie sicher, dass alle CI-Attribute in den Zusätzlichen Informationen der Warnung mit dem Attributschlüssel und dem Wertformat des CI übereinstimmen und dass genau ein übereinstimmendes CI vorhanden ist.

          Wählen Sie Anleitung, um Anweisungen dazu zu erhalten, wie Sie sicherstellen, dass das Feld Zusätzliche Informationen mindestens ein Feld und einen Wert enthält, die einem CI-Attribut entsprechen. Weitere Informationen und ein Beispiel finden Sie unter Legen Sie Felder für zusätzliche Informationen so fest, dass sie dem CI-Attributformat entsprechen.

      2. Ein Nicht-Host-CI ist jedes CI, das die Tabelle [cmdb_ci_hardware] nicht erweitert, z. B. ein Service oder ein virtueller Computer (VM). Das System sucht basierend auf dem ausgewählten CI-Typ in der entsprechenden CMDB-Tabelle nach einem übereinstimmenden CI. Wenn Sie beispielsweise Dateisystem als CI-Klasse auswählen, sucht das System nach einem übereinstimmenden Datensatz in der Tabelle [cmdb_ci_file_system] anhand der Details aus dem Ereignisregel-Datensatz, insbesondere des Felds Zusätzliche Informationen.

        Wenn das CI kein Host ist:
        1. Wählen Sie das Nicht-Host-CI aus, um die Warnung zu binden oder zuzuordnen.

          Wählen Sie Elemente anzeigen aus, um die Liste der verfügbaren CI-Klassen anzuzeigen, und wählen Sie dann eine CI-Klasse aus der Liste aus.

        2. Löschen Sie im Abschnitt „Felder kopieren oder verfassen“ das Feld Knoten, um ein Nicht-Host-CI anzugeben.

          Wählen Sie Anzeige, um zu erfahren, wie das Feld Knoten gelöscht wird.

        3. Stellen Sie sicher, dass im Feld Zusätzliche Informationen der Warnung mindestens ein CI-Attribut vorhanden ist.
          Hinweis:
          Damit die CI-Identifizierung erfolgreich ist, stellen Sie sicher, dass alle CI-Attribute in den Zusätzlichen Informationen der Warnung mit dem Attributschlüssel und dem Wertformat des CI übereinstimmen und dass genau ein übereinstimmendes CI vorhanden ist.

          Wählen Sie Anleitung, um Anweisungen dazu zu erhalten, wie Sie sicherstellen, dass das Feld Zusätzliche Informationen mindestens ein Feld und einen Wert enthält, die einem CI-Attribut entsprechen. Weitere Informationen und ein Beispiel finden Sie unter Legen Sie Felder für zusätzliche Informationen so fest, dass sie dem CI-Attributformat entsprechen.

          Das System versucht, Werte aus dem Feld Zusätzliche Informationen der Warnung mit der CI-Tabelle abzugleichen. Wenn eine Übereinstimmung gefunden wird, wird die Warnung mit dem entsprechenden CI verknüpft.

      Weitere Informationen zur CI-Bindung finden Sie unter Warnungen an CIs binden.
    10. Um mit der Ausführung anderer Ergänzungsautomatisierungen mit denselben Filterbedingungen nach der Ausführung dieser Automatisierung fortzufahren, wählen Sie im Abschnitt „Andere Ergänzungswarnungsautomatisierungen ausführen“aus.
      Wenn Sie Keine weiteren Automatisierungen von Ergänzungswarnungen ausführenauswählen, wird die Ausführung zusätzlicher Automatisierungen dieses Typs beendet, nachdem diese Automatisierung einmal ausgeführt wurde. Wenn die Automatisierung von einem Administrator verwaltet wird, wird die Ausführung von Automatisierungen im Besitz des Administrators beendet, die Ausführung von Automatisierungen im Besitz anderer Zuweisungsgruppen wird jedoch fortgesetzt.
    11. Geben Sie im Abschnitt „Automatisierungsdetails“ eine Beschreibung für Reihenfolge und Automatisierung an.
      Abschnitt „Automatisierungsdetails“ ergänzen
      1. Geben Sie im Feld Reihenfolge die Automatisierungsreihenfolge ein.
        Hinweis:
        Automatisierungen werden in der Reihenfolge von der niedrigsten zur höchsten ausgeführt. Stellen Sie sicher, dass es keine Ergänzungsautomatisierungen mit einer niedrigeren Ordnungszahl gibt, die über übereinstimmende Bedingungen verfügen und für die „Zusätzliche Automatisierungen dieses Typs anwenden“ auf „falsch“ festgelegt ist. Andernfalls kann dies die Ausführung nachfolgender Automatisierungen verhindern.

        Das Feld „Automatisierung wird verwaltet von “ zeigt das Team oder die Zuweisungsgruppe an, das bzw. die diese Automatisierung besitzt, bearbeitet und löschen kann. Die Zuweisungsgruppe ist mit der im Abschnitt „ Wenn diese Bedingungen erfüllt sind“ definierten Gruppe identisch.

      2. Geben Sie im Feld Automatisierungsbeschreibung eine kurze Beschreibung der Automatisierung ein.
    12. Wählen Sie Automatisierung speichern aus.
      Es wird eine Benachrichtigung angezeigt, wenn die Automatisierung erfolgreich gespeichert wurde. Andernfalls wird eine Fehlermeldung angezeigt. Die von Ihnen erstellte Ergänzungsautomatisierung wird auf der Seite „Warnungen ergänzen“ angezeigt, auf der Sie die vorhandene Automatisierung anzeigen, bearbeiten oder löschen können.

    Nächste Maßnahme

    Sie können Warnungen effektiver verwalten, indem Sie ähnliche Warnungen mithilfe von Automatisierung für das Erstellen von Gruppengruppieren.