Erstellen einer Warnungskorrelationsregel

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erstellen Sie eine Warnungskorrelationsregel, um eine primäre Warnung und eine zugehörige Warnung von sekundärer Bedeutung festzulegen.

    Vorbereitungen

    Erforderliche Rolle: evt_mgmt_admin

    Prozedur

    1. Navigieren zu Alle > Ereignismanagement > Regeln > Warnungskorrelationsregeln.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular für Warnungskorrelationsregeln
      Feld Beschreibung
      Name Beschreibender Name zur Identifizierung der Korrelationsregel
      Reihenfolge Die Priorität für die Regelbewertung. Regeln mit niedrigeren Werten werden priorisiert. Eine Warnung wird gegen alle Warnungsaktionsregeln geprüft, bis eine Übereinstimmung gefunden wird.
      Aktiv Durch Auswahl aktivieren Sie die Regel.
      Erweitert Durch Auswahl zeigen Sie das Skript-Feld an. Mit dieser Option können Sie Skripte für die Event-Korrelationen erstellen.
      Beschreibung Eine Beschreibung der Regel.
      Primäre Warnung Die Filterbedingung, welche die primäre (bzw. wichtigste) Warnung in einem Satz zugehöriger Warnungen identifiziert.

      Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
      Sekundäre Warnung Die Filterbedingung, welche die zur primären Warnung zugehörige Warnung von geringerer Bedeutung identifiziert.

      Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
      Filter Die Filterbedingung, welche die Warnung identifiziert, für die das Skript ausgeführt wird.

      Filter ist nur verfügbar, wenn Erweitert ausgewählt ist.

      Bei Filterparametern wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. Um die Unterscheidung zwischen Groß- und Kleinschreibung zu deaktivieren, setzen Sie den sa_analytics.correlation_case_sensitive-Parameter auf false.
      Beziehungstyp Geben Sie den Beziehungstyp zwischen der primären und sekundären Warnung an:
      • Keine Beziehung: Die Beziehung wird ignoriert, wenn Sie nach einer Übereinstimmung suchen.
      • Gleiches CI oder gleicher Knoten: Beziehen Sie beide Warnungen auf dasselbe CI. Wenn das CI-Feld leer ist, müssen die Warnungen denselben Knotenwert haben.
      • Primäres Element ist übergeordnet: Die Beziehung besteht in Richtung des übergeordneten (primären) Elements zum untergeordneten Element, wie in der Tabelle der CI-Beziehungstypen [cmdb_rel_ci] beschrieben.
      • Primäres Element ist untergeordnet: Die Beziehung besteht in umgekehrter Richtung, vom untergeordneten (primären) Element zum übergeordneten Element, wie in der Tabelle „CI-Beziehungen“ [cmdb_rel_ci] beschrieben.

      Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
      Zeitunterschied in Minuten Die Zeitspanne in Minuten, in denen das primäre und das sekundäre Event eintreten müssen, damit diese Regel erfüllt wird. Der Standardwert beträgt 60 Minuten.
      Hinweis:
      Der Wert für diesen Eintrag kann nicht größer sein als 1440 Minuten (ein Tag).

      Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
      Skript Ein benutzerdefiniertes Skript, durch dessen Bearbeitung Sie eine JSON-Zeichenfolge zurückgeben können, welche die primären und sekundären Warnungen angibt.

      Wählen Sie Erweitert aus, um das Skript-Feld anzuzeigen.

      
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
      Beziehung Beschreibung der CI-Beziehung zwischen den primären und sekundären Elementen, z. B. Zugeordnet von::Zugeordnet an oder Zugeordnet an::Zugeordnet von.

      Dieses Feld wird nur angezeigt, wenn entweder Primäres Element ist übergeordnet oder Primäres Element ist untergeordnet als Beziehungstyp ausgewählt ist.

      Beziehung

      Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
    4. Klicken Sie auf Absenden.

    Ergebnisse

    Eine Warnungsgruppe wird erstellt, wenn eine neue Warnung generiert oder der Status einer Warnung von „Geschlossen“ oder „Flatternd“ zu „Offen“ oder „Erneut geöffnet“ geändert wurde, und der Filter übereinstimmt.