Synchronisez la réponse aux alertes avec le regroupement en veillant à ce que les tâches de gestion des alertes s’exécutent après les tâches de regroupement d’alertes, afin d’éviter les actions en double telles que la création d’incidents sur les alertes secondaires.
Pourquoi et quand exécuter cette tâche
Par défaut, le travail de regroupement d’alertes (Analyse de services Alertes de groupe utilisant RCA/Agrégation d’alertes) et le travail de gestion des alertes (Gestion des événements - Évaluer la gestion des règles d’alerte incluse dans le champ d’application0) s’exécutent indépendamment l’un de l’autre. Pour synchroniser la réponse d’alerte avec le regroupement automatisé d’alertes (par exemple, pour éviter de créer un incident sur une alerte secondaire), vous devez activer la propriété evt_mgmt.avoid_int_enabledpour vous assurer que le travail de gestion des alertes est exécuté une fois le travail de regroupement d’alertes terminé. Cette propriété est accessible à partir de la Gestion des événements page Propriétés (). En outre, vous devez configurer la règle de gestion des alertes pertinente (par exemple, pour la création d’incidents), afin de filtrer toutes les alertes secondaires.
Remarque : Un incident est créé s’il n’existe qu’une seule alerte lors de l’exécution de la tâche Gestion des alertes. Lorsqu’une deuxième alerte est détectée ultérieurement, la tâche de regroupement d’alertes suivante forme un groupe, rend la nouvelle alerte secondaire et crée un nouvel incident.