Ereignismanagement-Formular „Tag-basierte Warnungs-Clustering-Definition“

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Im Formular zum Erstellen oder Ändern einer Tag-basierten Warnungs-Clustering-Definition werden detaillierte Informationen zur Definition angezeigt.

    Tabelle : 1. Formular „Tag-basierte Warnungs-Clustering-Definition“
    Feld Beschreibung
    Name Name der Alarm-Clustering-Definition.

    Definitionsnamen müssen eindeutig sein.
    Aktiv Wählen Sie die Option, um die Definition zu aktivieren. Diese Option ist standardmäßig ausgewählt.
    Reihenfolge Die Reihenfolge, in der Definitionen für eingehende Warnungen getestet werden. Solche mit niedrigeren Ordnungswerten werden zuerst getestet.

    Wenn eine Warnung mit einem der Filter der Definitionen übereinstimmt, wird die Suche nach weiteren Definitionen fortgesetzt.

    Standardwert = 1.000
    Domäne Die Domäne, in der der aktuelle Datensatz erstellt wurde. Schreibgeschützt.
    Beschreibung Geben Sie eine optionale Beschreibung der Alarm-Clustering-Definition ein.
    Filter Legen Sie Bedingungen fest, die eingehende Warnungen erfüllen müssen, um von den Tags der Alarm-Clustering-Definition gemessen zu werden. Wenn die Tags Warnungen entsprechen, die im System vorhanden sind und sich innerhalb des Werts Clustering timeframe (minutes) (Clustering-Zeitrahmen (Minuten)) befinden, werden die eingehenden Warnungen mit den vorhandenen Warnungen verbunden, um eine Warnungsgruppe zu bilden.
    Nachdem Sie den Filter konfiguriert haben, können Sie auf die Schaltfläche Vorschau klicken, um anzuzeigen, wie viele vorhandene Warnungen der Bedingung des Filters entsprechen.
    Hinweis:
    • Übereinstimmende Warnungen werden nicht automatisch zusammen in eine Warnungsgruppe aufgenommen. Warnungen werden nur gruppiert, wenn sie über entsprechende Alarm-Clustering-Tags verfügen.
    • Bei Filterparametern wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. Um die Unterscheidung zwischen Groß- und Kleinschreibung zu deaktivieren, setzen Sie den sa_analytics.correlation_case_sensitive-Parameter auf false.
    • Sie können Warnungsfelder auch so konfigurieren, dass sie von der Suche ausgeschlossen werden, indem Sie die Eigenschaft sn_em_tbac.tag_excluded_alert_fields verwenden. Standardmäßig werden mit dieser Eigenschaft folgende Elemente ausgeschlossen:
      • Typ
      • event_class
    Gruppenbeschreibung überschreiben Standardgruppenbeschreibungen beginnen mit dem Präfix „Gruppe von Warnungen“, gefolgt von der Beschreibung der primären Warnung in der Gruppe. Sie können diese Gruppenbeschreibung überschreiben, indem Sie das Kontrollkästchen Gruppenbeschreibung überschreiben aktivieren. Geben Sie dann im Feld Anwenderdefinierte Beschreibung eine Beschreibung ein. Diese Beschreibung wird als Beschreibung der Gruppen verwendet, die von dieser Warnungs-Clustering-Definition erstellt werden.
    Hinweis:
    Sie können das Formular nicht speichern, wenn Sie das Feld „Anwenderdefinierte Beschreibung“ leer oder mit dem Standardtext „Gruppe von Warnungen“ gelassen haben.
    Clustering-Zeitrahmen (Minuten) Die maximale Zeit in Minuten, die zwischen Warnungen für die Warnungsgruppierung zulässig ist. Zum Beispiel gibt ein Wert von 60 an, dass eine Warnung, die innerhalb von 60 Minuten nach der letzten Warnung generiert wurde, in der Warnungsgruppe enthalten ist. Alle nach dieser Zeit generierten Warnungen werden nicht in die Warnungsgruppe aufgenommen.

    Standardwert = 60

    Erlaubte Werte = 0-1440
    M2M-Zuweisung von Definitionen und Tags für tag-basiertes Warnungs-Clustering Wählen Sie die Alarm-Clustering-Tags aus, die der Alarm-Clustering-Definition zugewiesen werden sollen. Warnungen, die die in den ausgewählten Tags angegebenen Kriterien erfüllen, werden in die Warnungsgruppe aufgenommen.

    Die verfügbaren Optionen sind die Tags, die auf der Seite Tag Based Alert Clustering Tags (Tag-basiertes Alarm-Clustering) erstellt wurden.