Ergänzungsautomatisierung erstellen

Xanadu: IT Operations Management

Release

xanadu

ft:locale

de-DE

ft:publication_title

Xanadu: IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Ergänzungsautomatisierung erstellen

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

5 Minuten Lesedauer

Die Anreicherung von Warnungen umfasst die Umwandlung von Rohereignissen aus Überwachungstools in ein Standardformat, um die automatisierte Gruppierung und Reaktion zu unterstützen. Dies umfasst das Extrahieren von Feldern aus langen Warnungsnutzlasten oder deren Zusammenfassung in einem standardisierten Format. Darüber hinaus können Sie Tags erstellen, bei denen es sich um Metadaten handelt, die Warnungen hinzugefügt werden, um das Filtern und Gruppieren zu erleichtern.

Vorbereitungen

Erforderliche Rolle: evt_mgmt_admin oder srm_responder

Warum und wann dieser Vorgang ausgeführt wird

Beim Extrahieren werden Werte aus Ereignis-Payloadfeldern abgerufen und in Warnungsausgabefelder eingefügt, während beim Verfassen mehrere Warnungsfelder in einem kombiniert werden. Weitere Informationen finden Sie unter Warnungsfelder werden extrahiert und erstellt.

Für Anwender, die mit der klassischen Ereignismanagement -Experience vertraut sind, bieten Ergänzungsautomatisierungen eine einfachere Schnittstelle mit besserer Teams-Unterstützung für den Schritt „Transformieren“ und „Verfassen“ von Ereignisregeln. Ereignisregeln bieten erweiterte Funktionen wie Bindungsüberschreibungen, die derzeit nur für Administratoren verfügbar sind. Administratoren können Warnungen auch mit Zuordnungsregeln für Ereignisfelder anreichern.

Prozedur

Navigieren zu Arbeitsbereiche > Service Operations-Arbeitsbereichan.
Wählen Sie in der primären Navigation das Symbol für ).
Wählen Sie auf der Seite „ Warnungsautomatisierung“ unter „ Automatisierungstypen“ die Option Erweitern aus.
Die Seite „Warnungen ergänzen“ wird angezeigt.
Wählen Sie Automatisierung erstellen aus.
Geben Sie im Feld Automatisierungsname den Namen der Automatisierung für die Anreicherung von Warnungen ein.
Aktivieren Sie die Automatisierung, indem Sie den Umschalter Aktiv umschalten.
Um mit der Ausführung anderer Ergänzungsautomatisierungen mit denselben Filterbedingungen fortzufahren, nachdem diese Automatisierung ausgeführt wurde, aktivieren Sie den Umschalter „Ausführung von Automatisierungen dieses Typs fortsetzen“.
Wenn diese Option deaktiviert ist, wird die Ausführung zusätzlicher Automatisierungen dieses Typs beendet, nachdem diese Automatisierung einmal ausgeführt wurde. Wenn die Automatisierung von einem Administrator verwaltet wird, wird die Ausführung von Automatisierungen im Besitz des Administrators beendet, die Ausführung von Automatisierungen im Besitz anderer Zuweisungsgruppen wird jedoch fortgesetzt.
Richten Sie im Abschnitt Wenn diese Bedingungen erfüllt sind Filterkriterien ein, um die Warnungen zu identifizieren, die Sie ergänzen möchten.
Die Bedingung wird anhand des vom Quellüberwachungssystem empfangenen Rohereignisses ausgewertet und berücksichtigt keine angereicherten Felder.
1. Wählen Sie im Feldmenü Zuweisungsgruppe die Zuweisungsgruppe aus, um zu bestimmen, welche Teamwarnungen die Automatisierung auslösen.
  Die Zuweisungsgruppe stellt ein bestimmtes Team dar, das für die Bearbeitung bestimmter Warnungen verantwortlich ist. Durch die Auswahl einer Zuweisungsgruppe stellen Sie sicher, dass nur die Warnungen, die diesem bestimmten Team zugewiesen sind, die Automatisierung auslösen. Auf diese Weise ist die Automatisierung zielgerichtet und wird nur für relevante Warnungen aktiviert, die dem ausgewählten Team zugeordnet sind.
  Hinweis:
  
  Wenn Sie bei der Instanz mit einer Administratorrolle angemeldet sind (evt_mgmt_admin), sind alle Zuweisungsgruppen verfügbar. Darüber hinaus können Sie Alle Gruppen auswählen, um das Generieren von Warnungen für eine der verfügbaren Gruppen zu aktivieren.
  
  Wenn Sie ein Operator sind, ist nur die Gruppe verfügbar, der Sie angehören.
  
  Nur Mitglieder der ausgewählten Gruppe oder Administratoren können die Automatisierung aktualisieren oder löschen.
2. Wählen Sie im Menü Quelle das Überwachungstool aus, von dem aus die Warnung generiert wird.
3. Richten Sie die Bedingungen ein, indem Sie das Feld, den Operator und den Feldwert auswählen. Fügen Sie dann weitere Bedingungen mit ODER- oder UND-Operatoren hinzu.
  Um einen weiteren Satz Bedingungen hinzuzufügen, wählen Sie + Neuer Bedingungssatz aus. Sie können ein zusätzliches Informationsfeld auch manuell hinzufügen, wenn Sie es nicht in der Dropdown-Liste sehen.

Wählen Sie im Abschnitt Dann wenden Sie die folgenden Aktionen an die Automatisierungsaktionen aus, die von dieser Automatisierung ausgelöst werden.

Sie müssen mindestens eine Aktion auswählen.

Warnungsfelder extrahieren: Ruft Warnungsfeldwerte aus der Ereignisnutzlast ab und platziert sie in einem Warnungsausgabefeld.
Felder kopieren oder verfassen: Führt verschiedene Warnungsfelder, Tags und Text zusammen, um eine zusammengesetzte Warnungsausgabe zu generieren.

Option Aktion

Option	Aktion
Warnungsfelder extrahieren	Aktivieren Sie den Umschalter Warnungsfelder extrahieren. Wählen Sie im Menü Quelleingabefeld einen Wert aus. Das Menü zeigt die Standardereignisfelder, zusätzliche Informationen und Tags an. Anschließend wird der Feldwert angezeigt. Sie können auch manuell einen Feldnamen eingeben, der nicht angezeigt wird, und Ihren eigenen Wert hinzufügen. Im Beispielfenster für Quellereignisse wird ein Beispiel für die neuesten Ereignisse in Ihrem System angezeigt. Wenn keine Ereignisse angezeigt werden, können Sie ein Ereignis erstellen (siehe Event-Regel erstellen oder bearbeiten) . Erstellen Sie im Feld Regulärer Ausdruck einen regulären Ausdruck, um den Wert zu extrahieren, den Sie extrahieren möchten. Hinweis: Sie können Text unter Verwendung der Formatkonventionen für reguläre Ausdrücke (reguläre Ausdrücke) verfassen. Verwenden Sie eine oder mehrere Erfassungsgruppen mit Klammern, um Teile der Eingabe zu extrahieren. Erfassungsgruppen im regulären Ausdruck werden Warnungsausgaben basierend auf der Reihenfolge zugewiesen, in der sie angezeigt werden. Der reguläre Ausdruck muss mit der gesamten Eingabe übereinstimmen. Erwägen Sie daher, Ihren regulären Ausdruck an beiden Enden mit `.` zu versehen. Beispiel: `(\w+).acme.com.` erfasst den Hostnamen in einem vollqualifizierten Domänennamen. Der Parser für die Regex-Engine ist mit Perl-kompatiblen regulären Ausdrücken (PCRE) kompatibel. Wählen Sie im Feld Warnungsausgabe ein Warnungsfeld oder ein Warnungs-Tag aus. Sie können auch manuell einen neuen Feldnamen eingeben. Wenn Sie ein Warnungs-Tag hinzufügen möchten, aktivieren Sie das Kontrollkästchen Als Tag festlegen. Tipp: Erstellen Sie Warnungs-Tags, die zur einfacheren Filterung und Gruppierung von Quellen gemeinsam genutzt werden können, z. B. die sofort einsatzbereiten Tags. Wählen Sie Vorschau mehrerer Ereignisse anzeigen, um sicherzustellen, dass der reguläre Ausdruck (regulärer Ausdruck) allgemeingültig genug ist, um Werte in vielen Beispielen korrekt zu extrahieren. Hinweis: Diese Option ist nur verfügbar, wenn Beispielquellereignisse verfügbar sind und mit dem regulären Ausdrucksfilter übereinstimmen. Um zusätzliche Felder für die Extraktion einzubeziehen, wählen Sie + Felder hinzufügenaus.
Felder kopieren oder verfassen	Aktivieren Sie den Umschalter Felder kopieren oder verfassen. Wählen Sie im Menü Quelleingabefeld Warnungsfelder und/oder Warnungs-Tags aus, geben Sie manuell einen Feldnamen ein, oder fügen Sie sogar Freitext hinzu. Warnungsfelder werden im Syntaxformat `${field}` angezeigt. Wählen Sie im Feld Warnungsausgabe ein vorhandenes Warnungsfeld oder Warnungs-Tag aus, oder geben Sie manuell ein Warnungsfeld ein. Das Feld Warnungsausgabe ist eine angereicherte Warnung, die die zusammengesetzten Warnungsdaten enthält. Um die Gruppierung zu erleichtern, können Sie ein Tag aus dem Menü auswählen. Wenn Sie den neuen Feldnamen als Tag für die Gruppierung verwenden möchten, aktivieren Sie das Kontrollkästchen Als Tag festlegen. Tipp: Erstellen Sie Warnungs-Tags, die zur einfacheren Filterung und Gruppierung von Quellen gemeinsam genutzt werden können, z. B. die sofort einsatzbereiten Tags. Um zusätzliche Warnungsdatenzusammensetzungen zu erstellen, wählen Sie + Felder hinzufügenaus.

Warnungsfelder extrahieren

Aktivieren Sie den Umschalter Warnungsfelder extrahieren.
Wählen Sie im Menü Quelleingabefeld einen Wert aus. Das Menü zeigt die Standardereignisfelder, zusätzliche Informationen und Tags an. Anschließend wird der Feldwert angezeigt. Sie können auch manuell einen Feldnamen eingeben, der nicht angezeigt wird, und Ihren eigenen Wert hinzufügen.
Im Beispielfenster für Quellereignisse wird ein Beispiel für die neuesten Ereignisse in Ihrem System angezeigt. Wenn keine Ereignisse angezeigt werden, können Sie ein Ereignis erstellen (siehe Event-Regel erstellen oder bearbeiten) .
Erstellen Sie im Feld Regulärer Ausdruck einen regulären Ausdruck, um den Wert zu extrahieren, den Sie extrahieren möchten.
Hinweis:
Sie können Text unter Verwendung der Formatkonventionen für reguläre Ausdrücke (reguläre Ausdrücke) verfassen. Verwenden Sie eine oder mehrere Erfassungsgruppen mit Klammern, um Teile der Eingabe zu extrahieren. Erfassungsgruppen im regulären Ausdruck werden Warnungsausgaben basierend auf der Reihenfolge zugewiesen, in der sie angezeigt werden. Der reguläre Ausdruck muss mit der gesamten Eingabe übereinstimmen. Erwägen Sie daher, Ihren regulären Ausdruck an beiden Enden mit .* zu versehen. Beispiel: (\w+).acme.com.* erfasst den Hostnamen in einem vollqualifizierten Domänennamen. Der Parser für die Regex-Engine ist mit Perl-kompatiblen regulären Ausdrücken (PCRE) kompatibel.
Wählen Sie im Feld Warnungsausgabe ein Warnungsfeld oder ein Warnungs-Tag aus. Sie können auch manuell einen neuen Feldnamen eingeben.

Wenn Sie ein Warnungs-Tag hinzufügen möchten, aktivieren Sie das Kontrollkästchen Als Tag festlegen.
Tipp:
Erstellen Sie Warnungs-Tags, die zur einfacheren Filterung und Gruppierung von Quellen gemeinsam genutzt werden können, z. B. die sofort einsatzbereiten Tags.
Wählen Sie Vorschau mehrerer Ereignisse anzeigen, um sicherzustellen, dass der reguläre Ausdruck (regulärer Ausdruck) allgemeingültig genug ist, um Werte in vielen Beispielen korrekt zu extrahieren.
Hinweis:
Diese Option ist nur verfügbar, wenn Beispielquellereignisse verfügbar sind und mit dem regulären Ausdrucksfilter übereinstimmen.

Um zusätzliche Felder für die Extraktion einzubeziehen, wählen Sie + Felder hinzufügenaus.

Felder kopieren oder verfassen

Aktivieren Sie den Umschalter Felder kopieren oder verfassen.
Wählen Sie im Menü Quelleingabefeld Warnungsfelder und/oder Warnungs-Tags aus, geben Sie manuell einen Feldnamen ein, oder fügen Sie sogar Freitext hinzu. Warnungsfelder werden im Syntaxformat ${field} angezeigt.
Wählen Sie im Feld Warnungsausgabe ein vorhandenes Warnungsfeld oder Warnungs-Tag aus, oder geben Sie manuell ein Warnungsfeld ein. Das Feld Warnungsausgabe ist eine angereicherte Warnung, die die zusammengesetzten Warnungsdaten enthält.
Um die Gruppierung zu erleichtern, können Sie ein Tag aus dem Menü auswählen. Wenn Sie den neuen Feldnamen als Tag für die Gruppierung verwenden möchten, aktivieren Sie das Kontrollkästchen Als Tag festlegen.
Tipp:
Erstellen Sie Warnungs-Tags, die zur einfacheren Filterung und Gruppierung von Quellen gemeinsam genutzt werden können, z. B. die sofort einsatzbereiten Tags.

Um zusätzliche Warnungsdatenzusammensetzungen zu erstellen, wählen Sie + Felder hinzufügenaus.

Geben Sie im Abschnitt „Automatisierungsdetails“ eine Beschreibung für Reihenfolge und Automatisierung an.
1. Geben Sie im Feld Reihenfolge die Automatisierungsreihenfolge ein.
  
  Hinweis:
  Automatisierungen werden in der Reihenfolge von der niedrigsten zur höchsten ausgeführt. Stellen Sie sicher, dass es keine Ergänzungsautomatisierungen mit einer niedrigeren Ordnungszahl gibt, die über übereinstimmende Bedingungen verfügen und für die „Zusätzliche Automatisierungen dieses Typs anwenden“ auf „falsch“ festgelegt ist. Andernfalls kann dies die Ausführung nachfolgender Automatisierungen verhindern.
  
  Das Feld „ Automatisierung wird verwaltet von “ zeigt das Team oder die Zuweisungsgruppe an, das bzw. die diese Automatisierung besitzt, bearbeitet und löschen kann. Die Zuweisungsgruppe ist mit der im Abschnitt „ Wenn diese Bedingungen erfüllt sind “ definierten Gruppe identisch.
2. Geben Sie im Feld Automatisierungsbeschreibung eine kurze Beschreibung der Automatisierung ein.
Wählen Sie Automatisierung speichern aus.
Es wird eine Benachrichtigung angezeigt, wenn die Automatisierung erfolgreich gespeichert wurde. Andernfalls wird eine Fehlermeldung angezeigt. Die von Ihnen erstellte Ergänzungsautomatisierung wird auf der Seite „Warnungen ergänzen“ angezeigt, auf der Sie die vorhandene Automatisierung anzeigen, bearbeiten oder löschen können.

Nächste Maßnahme

Sie können Warnungen effektiver verwalten, indem Sie ähnliche Warnungen mithilfe von Automatisierung für das Erstellen von Gruppengruppieren.