Geplante Aufgaben und Parameter für die Gruppierung von Warnungen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Automatisieren Sie die Warnungsorganisation, indem Sie -Aufträge konfigurieren, um Warnungen basierend auf vordefinierten Kriterien und Parametern zu gruppieren.

    Um Warnungen in automatisierten, CMDB-, textbasierten, Tag-Cluster- und Netzwerkdatenverkehrskorrelations-Gruppen zu gruppieren, wird die geplante Aufgabe mit der Bezeichnung „Service Analytics-Gruppenwarnungen mit RCA/Warnungszusammenfassung“ normalerweise einmal pro Minute ausgeführt. Dieser Auftrag verarbeitet die Gruppierung von Warnungen basierend auf der angegebenen Methode. Darüber hinaus können Sie mehrere geplante Aufgaben parallel ausführen, um die Gruppierung von Warnungen effizienter zu verwalten. Weitere Informationen finden Sie unter Führen Sie mehrere geplante Aufgaben für die Gruppierung von Warnungen aus.

    Um zu definieren, welche Warnungen gruppiert werden, werden die folgenden Parameter verwendet:
    • sa_analytics.aggregation_enabled: Dieser Parameter aktiviert die von der geplanten Aufgabe erstellte Warnungsgruppierung. Legen Sie die Eigenschaft Enable alert aggregation for Automated, CMDB, and Text-Based groups auf „true“ fest, um diese Funktion zu aktivieren.
      Hinweis:
      Diese Eigenschaft gilt auch für die Gruppierung von Tag-Clustern und Netzwerkdatenverkehrkorrelationen.
    • sa_analytics.agg.query_dynamic_window: Standardmäßig ist diese auf 10 Minuten (600 Sekunden) festgelegt. Sie definiert den maximal zulässigen Zeitunterschied zwischen den Zeitpunkten der letzten Ereignisgenerierung von zwei Warnungen, die zusammen gruppiert werden können.
    • sa_analytics.agg.query_max_group_lifetime: Dieser Parameter gibt den maximalen Zeitraum von der Generierung der ersten Warnung bis zur letzten Warnung in einer Gruppe an, mit einem Standardwert von 30 Minuten (1800 Sekunden). Wenn Ereignisse mit einer Verzögerung eintreffen, die diesen Zeitraum überschreitet, kann mit dem Parameter sa_analytics.agg.group_expiration_time die Gruppierungszeit auf über 30 Minuten verlängert werden.
    Hinweis:
    Einige Parameter, wie z. B. sa_analytics.agg.query_dynamic_window, sa_analytics.agg.query_max_group_lifetimeund sa_analytics.agg.group_expiration_time, werden nicht standardmäßig bereitgestellt. Um diese Eigenschaften zu verwenden, müssen Sie Eigenschaften mit denselben Namen erstellen und ihnen die erforderlichen Werte zuweisen. Weitere Informationen zum Erstellen einer Eigenschaft finden Sie unter Add a system property.

    Beispiel: Wie Warnungen gruppiert werden

    Bei der Tag-Cluster-Gruppierung werden Warnungen basierend auf dem Zeitrahmenparameter, der in den Einstellungen für das Warnungs-Tag-Clustering definiert ist, einer Gruppe hinzugefügt. Für die automatisierte, CMDB- und textbasierte Gruppierung des Netzwerkdatenverkehrs werden Warnungen wie folgt zusammengefasst.

    Berücksichtigen Sie die folgenden Warnungen mit demselben CI. (Sie können alle derselben CMDB-Gruppe hinzugefügt werden).
    • Warnung 1: Erste Ereignisgenerierung um 01:00:00 Uhr
    • Warnung 2: Generierung des ersten Ereignisses um 01:11:00
    • Warnung 3: Generierung des ersten Ereignisses um 01:13:00
    • Warnung 4: Generierung des ersten Ereignisses um 01:16:00
    • Warnung5: Generierung des ersten Ereignisses um 01:25:00
    • Warnung6: Erste Ereignisgenerierung um 01:34:00 Uhr
    • Warnung 7: Generierung des ersten Ereignisses um 01:43:00
    Warnung1 und Warnung2 werden aufgrund des Zeitabstands von mehr als 10 Minuten nicht gruppiert. Alert2 und Alert3 erstellen um 01:13:00 eine Gruppe. Das dynamische 10-Minuten-Fenster beginnt um 01:13:00 Uhr mit:
    • Alert4 wird der Gruppe um 01:16:00 hinzugefügt. Dadurch wird das 10-Minuten-Fenster neu gestartet.
    • Alert5 und Alert6 werden der Gruppe hinzugefügt, da ihre Ereigniszeiten innerhalb des 10-Minuten-Fensters liegen.
    • Warnung7 wird der Gruppe nicht hinzugefügt, da sie 9 Minuten nach Warnung6 eintrifft und somit das Limit sa_analytics.agg.query_max_group_lifetime von maximal 30 Minuten Gruppenlebensdauer ab der ursprünglichen Gruppenerstellung (01:13:00 + 30 Minuten = 01:43:00) überschreitet. .