Regroupement automatisé d’alertes

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Gestion des événements L’agrégation d’alertes regroupe les alertes en groupes d’alertes automatisés en fonction des données d’alerte historiques. Les groupes d’alertes automatisés sont affichés dans la liste Express du Espace de travail pour l'exploitation des services.

    Activez la création de groupes d’alertes automatisés en définissant la propriété Activer l’agrégation d’alertes pour les groupes automatisés, CMDB et basés sur le texte (sa_analytics.aggregation_enabled).

    Si l’option Prise en charge de domaine : programme d’installation d’extensions de domaine est activée, les modèles d’agrégation d’alertes sont créés en fonction du niveau de domaine spécifié dans la propriété sa_analytics.agg.learner_domain_level . Par défaut, le niveau de domaine est défini sur deux, qui est le deuxième niveau de domaine dans la hiérarchie de domaine. Consultez Séparation de domaine et Gestion des événements.

    Pour créer des groupes d'alertes automatisés, les algorithmes d'agrégation s'appuient sur des alertes historiques avec le même identificateur d'alerte (CI et identificateur de mesure) et qui se sont produites plusieurs fois dans la même période.

    A propos des identificateurs de modèles

    L’identificateur de modèle par défaut est défini comme nom de la mesure. Dans le formulaire Gérer l’identificateur de modèle, vous pouvez savoir quels champs d’alerte sont actuellement utilisés pour l’identificateur de modèle. Vous pouvez choisir un autre ensemble de champs d’alerte à déployer ou définir un nouvel ensemble de champs pour l’identificateur de modèle.
    Remarque :
    Un ensemble de champs d’alerte utilisés pour l’identificateur de modèle est également appelé attributs d’identificateur de fonctionnalité ou attributs.
    Pour garantir que les champs d’alerte spécifiés dans l’identificateur de modèle sont efficaces, un nombre suffisant d’alertes doivent avoir les champs renseignés respectifs. Par conséquent, si vous spécifiez un nouvel ensemble de champs d’alerte dans l’identificateur de modèle, procédez comme suit pour garantir une analyse significative :
    • Créez une règle d’événement qui renseigne les champs d’alerte respectifs.
    • Si un grand nombre d’alertes existantes n’ont pas de valeurs pour le nouvel ensemble de champs d’alerte utilisés dans l’identificateur de modèle, assurez-vous d’exécuter la Service Analytics Attribute Populator for Historical Alerts tâche qui utilise la règle d’événement appropriée pour renseigner les champs d’alerte à partir d’alertes historiques. Les propriétés provenant du CI CMDB à l’aide de la remontée pas à pas ne sont pas renseignées.
    • Choisissez des identificateurs efficaces :
      • Assurez-vous que l’ensemble des champs d’alerte dans l’identificateur de modèle n’est pas trop unique (par exemple, le champ de date est unique pour chaque alerte), car il est impossible d’identifier un modèle.
      • Assurez-vous que l’ensemble des champs d’alerte dans l’identificateur de modèle n’est pas trop commun, car il ne sera pas possible de créer des groupes distincts, car tout serait inclus dans le même groupe.

    Lorsqu’un modèle d’alerte est détecté en fonction d’un ensemble de champs d’alerte, les alertes sont considérées comme liées les unes aux autres et sont donc regroupées dans un modèle appris. Par exemple, si vous configurez des attributs d’identificateur pour créer un modèle basé sur des alertes ayant le même groupe de priorités et la même ressource, si un groupe d’alertes correspond à ces attributs, elles sont regroupées dans un modèle qui s’affiche dans le rapport Modèles appris (Gestion des événements > Administration > Schémas appris).

    Un seul ensemble d'attributs d'identificateur de modèle peut être actif à la fois. Un nouvel ensemble d’attributs d’identificateur de modèle n’est pas automatiquement implémenté tant que vous ne l’avez pas déployé. Lorsque vous déployez un nouvel ensemble d'attributs, l'ensemble d'attributs actuellement en vigueur devient inactif. Les requêtes suivantes utilisent les attributs d'identificateur de modèle actifs pour exécuter l'agrégation d'alertes.

    L’objectif principal de cette agrégation d’alertes basée sur des modèles est de trouver des modèles de problèmes qui se sont produits au cours des 30 derniers jours. Le nombre de jours est contrôlé par le sa_analytics.agg.learner_period_days paramètre. Pour identifier un problème, le système utilise une combinaison d’éléments de configuration (CI) et d’identificateurs de modèle (parfois appelés identificateurs de fonctionnalité). Par défaut, un identificateur de modèle est défini comme un nom de mesure, mais il peut être modifié. Deux alertes sont similaires si elles ont le même CI et le même Identificateur de modèle. Toutefois, les champs Source, Gravité, Description et autres peuvent varier. Pour en savoir plus, consultezSpécifier et gérer les attributs de l'identificateur de modèle pour l'agrégation d'alertes.
    Remarque :
    La tâche d'apprentissage Agrégation d'alertes apprend également les modèles d'alertes dans les groupes d'alertes manuels.

    Dans certains cas, vous pouvez créer des modèles à partir d’alertes dont les CI ont la même valeur dans un champ sélectionné. Par exemple, pour créer des modèles à partir d’alertes qui ont le même champ Emplacement CI, saisissez « emplacement » dans la sa_analytics.agg.learner_group_by_property propriété. Pour plus d'informations, consultez Configurer l’agrégation d’alertes pour les travaux planifiés.

    Les alertes qui ne contiennent pas de CI peuvent toujours être regroupées en groupes d’alertes basés sur du texte ou sur des CI. Dans ce cas, un nœud est considéré comme un CI. Pour activer cette fonctionnalité, définissez la sa_analytics.enable_no_ci_grouping propriété sur vrai. Lorsque vous travaillez avec des groupes basés sur des CI, assurez-vous que l’identificateur de fonctionnalité inclut à la fois le nom du nœud et le nom de la mesure. Pour en savoir plus sur la configuration de l'identificateur de fonctionnalité, consultez la rubrique Rapport Modèles appris.