タグクラスターアラートのグループ化を使用すると、アラートのグループを簡単に作成できます。この方法ではコードを使用せずにアラートをグループ化するため、CMDB やモデルトレーニングを使用せずにアラートを関連付けることが可能です。より簡単に類似のアラートをグループ化できるため、大量のアラートの全体的なノイズが軽減されます。

タグクラスターアラートのグループ化は、 ServiceNow Store で利用可能なタグベースのアラートによるクラスタリングエンジンアプリケーションがアクティブ化された直後に有効になります。このグループ化は、 アラート相関ロジックの順序の設定で指定された相関ロジックの順序に従って適用されます。アラートグループ化タグは、多対多 (M2M) ベースで定義に添付されます。複数のタグを 1 つの定義にリンクできます。また、1 つのタグを複数の定義の一部にすることができます。タグクラスターアラートのグループ化定義から形成されたグループは、タグクラスターグループタイプとして分類されます。

タグクラスターアラートのグループ化ではドメインセパレーションがサポートされているため、ドメインごとに独自のアラートグループ化構成とロジックを設定できます。

まず、アラートグループ化タグを作成して、アラートをグループ化するための基準を定義します。完全一致、近似 (「あいまい」)一致、または文字パターン一致を要求するようにタグを設定できます。

事前設定されたタグを使用して、アラートクラスタリングを高速化することもできます。これらの事前定義済みタグは、アラートからマッピングされ、[アラート] フィールド、アラートタグ、アラート追加情報などのソースからの情報に基づいています。必要なデータがなく、選択したタグソースがアラート CI またはアラート CI キーである場合、タグは 構成管理データベース (CMDB)の構成アイテム (CI) 値を使用して入力されます。事前定義されたタグは、すぐに利用可能な説明によって簡単に識別できます。

アラートクラスタリング定義に 1 つ以上のタグを添付して、アラート相関の条件を指定できます。独自のアラートクラスタリング定義を作成することも、アプリケーションによって提供される事前定義された定義を使用することもできます。事前定義された定義には、関連付けられたタグが付属しています。

1 つ以上のアラートクラスタリングタグが定義に添付されると、システムはアラートを収集し、それらのタグが定義で指定されたすべてのタグ値と一致するかどうかを確認します。一致するタグ値または類似のタグ値を持つアラートはグループ化されます。新しい受信アラートは、そのタグがグループの作成に使用された定義のタグと一致する場合、既存のグループに追加されます。

タグクラスターのグループ化では、アラートクラスタリング設定で定義された期間に基づいて、アラートがグループに追加されます。最初のアラート (仮想アラート) から後続のアラートまでの時間が評価されます。2 つの新しいアラートを受信し、その時差が定義された期間内にある場合、そのアラートはグループに追加されます。初期イベントの生成時刻は、期間の関連性を判断するために使用されます。