Créer une automatisation de groupe

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 12 minutes de lecture

    • L’automatisation du regroupement vous aide à gérer les alertes plus efficacement en collectant des alertes similaires. Il est ainsi plus facile de voir les modèles, d’identifier rapidement les problèmes et de réagir efficacement. En organisant les alertes de cette manière, vous pouvez réduire le bruit des alertes, identifier les causes premières et les affecter aux équipes appropriées.

    Avant de commencer

    Rôle requis : evt_mgmt_admin, evt_team_operator ou srm_responder

    Pourquoi et quand exécuter cette tâche

    Le regroupement de cette méthode est particulièrement utile lorsque les alertes partagent des données ou des balises communes, telles qu’un nœud ou un emplacement. Vous pouvez utiliser des champs ou des balises renseignés via une automatisation d’enrichissement. L’utilisation de balises d’alerte est le meilleur moyen de regrouper les alertes lorsque votre CMDB ou vos cartes de services sont immatures. Cela complète nos autres algorithmes de regroupement, notamment les règles de corrélation des alertes, le ML et le regroupement basé sur du texte. Même si une nouvelle alerte est associée à plusieurs groupes, elle est regroupée uniquement avec la première correspondance, et vous pouvez contrôler l’ordre de priorité de ces algorithmes via la propriété système. Pour plus d’informations sur l’ordre logique de corrélation, reportez-vous à la section Configurer l’ordre logique de corrélation des alertes.

    Alert Automation fournit également une fonctionnalité de simulation vous permettant de tester le nombre de groupes d’alertes formés, le nombre de groupes non groupés et le taux de compression. Un taux de compression plus élevé signifie que votre équipe est plus productive et peut être en mesure d’identifier plus rapidement les causes premières. Cependant, demandez-vous si les groupes sont précis, corrects sur le plan opérationnel et affectés aux bonnes équipes. Vous pouvez ajuster les critères de groupe jusqu’à ce que vous soyez satisfait des groupes résultants.

    Pour les utilisateurs familiarisés avec l’expérience classique Gestion des événements , cette fonctionnalité offre une interface simplifiée avec une meilleure prise en charge de l’équipe pour la création de définitions de regroupement d’alertes basées sur les balises.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. En bas du volet de navigation, sélectionnez l’icône Centre de configuration ITOM AIOps Icône Centre de configuration AIOps.
      La ITOM page Centre de configuration AIOps s’affiche. Le centre de configuration est un espace de travail centralisé. Utilisez-le pour configurer et gérer les fonctionnalités AIOps à partir d’un seul endroit.
    3. Sur la page Centre de configuration ITOM AIOps, dans la section Optimiser, sélectionnez Grouper les alertes
    4. Sélectionnez Créer une automatisation.
      La page Alertes de groupe s’ouvre.
    5. Dans le champ Nom de l’automatisation , saisissez le nom de l’automatisation pour le regroupement des alertes.
      Par défaut, la case Actif est cochée.
    6. Dans la section Si ces conditions sont remplies , configurez des critères de filtre pour identifier les alertes que vous souhaitez regrouper.
      Conditions d’alertes de groupe.
      1. Dans le menu du champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer les alertes de l’équipe qui déclencheront l’automatisation.

        Le groupe d’affectation désigne une équipe spécifique responsable du traitement de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle d’administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur, seul le groupe dont vous faites partie est disponible.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ensuite, ajoutez d’autres conditions à l’aide des opérateurs OR ou ET. Vous devez ajouter au moins un filtre supplémentaire en plus du groupe d’affectation.
        Conseil :
        Sélectionnez un filtre plus spécifique pour améliorer les performances.

        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.

    7. Dans la section Ensuite, regrouper les alertes en fonction des critères suivants , procédez comme suit.
      Critère de regroupement d’alertes
      1. Dans le champ Délai de regroupement , spécifiez la durée (en minutes) pendant laquelle les alertes doivent être collectées et regroupées.
      2. Dans le menu Type de critère , sélectionnez la façon dont vous souhaitez regrouper les alertes.
        Options disponibles :
        • Champs et balises similaires : regroupe les alertes qui partagent des champs ou des balises communs.
          • Dans le menu Champ Source , sélectionnez la source à partir de laquelle vous souhaitez que les alertes soient regroupées.
            Remarque :
            Vous pouvez ajouter manuellement un nom de champ et sélectionner le type de champ. Les options disponibles incluent le champ d’informations supplémentaires, la balise d’alerte et la balise CI. Cette flexibilité vous permet de personnaliser les informations capturées en fonction de vos besoins spécifiques.
          • Dans le champ Méthode de correspondance pour le regroupement , sélectionnez l’une des options suivantes : regrouper les alertes en fonction d’une correspondance exacte, d’une correspondance floue ou d’une correspondance de modèle.

            Lorsque vous sélectionnez une valeur pour la méthode de correspondance floue dans le champ de regroupement, le champ Seuil de similarité (pourcentage) devient visible. Les alertes sont regroupées lorsque leur similarité est supérieure ou égale au pourcentage spécifié en fonction de la distance de modification.

            Par exemple, si vous avez des alertes provenant des États-Unis, de la Californie et des États-Unis, New York, et que vous souhaitez regrouper les alertes par pays, vous devez définir le champ Source sur l’emplacement. Si la méthode de correspondance pour le regroupement est une correspondance floue et que le seuil de similarité (pourcentage) est de 50 %, les alertes sont regroupées si elles sont similaires à au moins 50 %, ce qui signifie qu’elles partagent le pays « USA » en tant qu’attribut commun.

          • Lorsque vous sélectionnez une valeur pour la méthode de correspondance de modèle dans le champ de regroupement, le champ Correspondance de modèle devient visible. Les alertes sont regroupées lorsque le modèle spécifié correspond. Pour plus d'informations, consultez Pattern matching.

            Utilisez des astérisques (*) dans la chaîne de recherche pour faire correspondre n’importe quel nombre de caractères ou un point d’interrogation ( ?) pour correspondre à n’importe quel caractère unique. Tout le reste de la chaîne de recherche correspond à lui-même. Par exemple, utilisez "HTTP Error 5 ?? » pour correspondre à toutes les erreurs HTTP 500.

        • CI associés : regroupez les alertes en fonction des relations CI (élément de configuration), telles que parent/enfant (Ordinateur virtuel  > hôte), les relations frères et sœurs (par exemple, plusieurs ordinateurs virtuels sur le même hôte), l’imbrication (Processus > l'application > serveur) et les flux applicatifs qui décrivent comment les composants interagissent au sein d’une application. En termes simples, ces alertes sont connectées, car les composants de l’infrastructure sous-jacente sont connectés.
        • Propriétés de journal connexes : les alertes Analyse de l’intégrité des journaux (HLA) sont regroupées, car leurs journaux sous-jacents semblent liés en fonction des schémas détectés par les algorithmes HLA.

          Vous pouvez créer un groupe d’alertes en fonction des propriétés de journal connexes sur les alertes HLA combinées à des balises d’alerte ou à la logique CMDB. Lorsque vous choisissez d’utiliser des propriétés de journal connexes, seules les alertes d’analyse de journal sont prises en compte pour le regroupement. Exécutez la règle de propriétés de journal connexe ultérieurement dans l’ordre des règles afin que d’autres règles, telles que le regroupement basé sur la CMDB ou le service, puissent évaluer et regrouper en premier les alertes d’analyse de journal.

        • Instances de services impactées : les alertes sont regroupées car elles affectent la même instance de service, quelle que soit la distance topologique (sauts) entre les CI d’alerte.

          Vous pouvez contrôler quelle instance de service doit être prise en compte en spécifiant l’instance de service impactée pertinente. Lorsque vous sélectionnez Instances de services impactées, deux options sont disponibles : N’importe quelle instance de service et Instance de service spécifique. Si vous choisissez Instance de service spécifique, vous pouvez sélectionner une ou plusieurs instances de services dans la liste ou sélectionner l’icône de recherche (icône de recherche) pour ouvrir la fenêtre contextuelle Sélectionner les instances de services impactées et choisir les instances de services requises.

          Par défaut, le critère de regroupement Instances de services impactées est basé sur le service impacté. Il peut également être configuré pour utiliser les associations de service de la table [svc_ci_assoc]. Vous pouvez contrôler l’utilisation de services impactés ou d’associations de services à l’aide de la sa_analytics.use_impacted_services_for_mixed_grouping propriété système. Si la valeur de la propriété est définie sur vrai, les alertes sont regroupées par services concernés et si la valeur de la propriété est définie sur faux, les alertes sont regroupées par associations de service.

      3. Pour inclure des champs supplémentaires pour le regroupement, sélectionnez + Ajouter des critères.
    8. Dans la section Options avancées , vous pouvez effectuer les opérations suivantes :
      • Activez le commutateur pour définir le nombre minimal d’alertes requis pour former un groupe. Lorsque vous l’activez, le champ Nombre minimum d’alertes dans le groupe s’affiche, vous permettant de saisir le nombre. La valeur par défaut est 2, ce qui signifie que le regroupement se produit uniquement lorsqu’il y a deux alertes ou plus.
      • Activez le commutateur pour former un groupe uniquement si au moins une alerte répond à des conditions spécifiques que vous définissez.
        Remarque :
        Le seuil et l’alerte requise sont des prérequis pour la formation d’un groupe d’alertes. Le seuil définit le nombre minimal d’alertes requis pour créer un groupe. La condition d’alerte requise garantit qu’au moins une alerte spécifique et significative est présente avant le début du regroupement. Si cette alerte n’est pas présente, le groupe n’est pas créé, même s’il existe plusieurs autres alertes. En d’autres termes, un groupe n’est créé que lorsque les deux conditions sont remplies.

        Exemple : imaginez un commutateur réseau avec plusieurs ports, où les alertes peuvent se produire soit sur des ports individuels, soit sur le commutateur lui-même. Vous souhaitez qu’un groupe soit créé uniquement lorsque le commutateur est affecté, et non lorsqu’il y a simplement un problème au niveau du port. Dans cette configuration, si les alertes se produisent uniquement sur un ou plusieurs ports, aucun groupe n’est créé. Un groupe est créé uniquement lorsqu’une alerte se produit sur le commutateur en même temps qu’une ou plusieurs alertes sur ses ports. Cela garantit que le regroupement ne se produit que pour les problèmes importants et significatifs impliquant le commutateur, et non pour les problèmes de port mineurs ou isolés. Ceci est utile car il empêche la création de groupes d’alertes inutiles, vous aide à vous concentrer sur des problèmes plus importants et plus significatifs et réduit le bruit causé par des alertes mineures ou isolées.

    9. Dans la section Détails de l’automatisation , fournissez une description de l’ordre et de l’automatisation.
      Détails de l’automatisation du regroupement d’alertes
      1. Dans le champ Commande , saisissez l’ordre d’automatisation.
        Remarque :
        Les alertes sont regroupées en fonction de la première correspondance, exécutées dans l’ordre, du nombre le plus bas au nombre le plus élevé. Le champ L’automatisation est gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .
      2. Dans le champ Description de l’automatisation , saisissez une brève description de l’automatisation.
    10. Pour tester si le regroupement d’alertes fonctionne correctement, accédez à Tester cette automatisation sur des alertes passées, sélectionnez la période de la simulation dans la liste déroulante, indiquez si vous souhaitez prendre en compte d’autres types de regroupement, puis sélectionnez Tester l’automatisation.
      Remarque :
      Dans le menu Prendre en compte d’autres types de groupe , vous pouvez sélectionner Cette automatisation uniquement ou Prendre en compte d’autres types de groupe. Sélection de Cette automatisation ignore uniquement les autres types de groupes d’alertes, tandis que le choix Prendre en compte d’autres types de groupes inclut toutes les automatisations de regroupement d’alertes, telles que les groupes d’alertes mixtes, automatisées et basées sur du texte.

      Pendant la simulation, il affiche à la fois les alertes groupées et les alertes dissociées pour la période spécifiée. Si des alertes sont regroupées, le nombre d’alertes regroupées s’affiche. Vous pouvez sélectionner ce numéro pour afficher les alertes groupées. En outre, la sélection d’une alerte individuelle affiche les détails de cette alerte spécifique. Vous pouvez également modifier les conditions de regroupement d’alertes ou les valeurs de champ et relancer le processus en sélectionnant Réexécuter le test.

      Section d’automatisation des tests

      L’en-tête de la section Automatisation des tests affiche également les éléments suivants : alertes correspondantes, groupes d’alertes, alertes dissociées et compression.
      • Alertes correspondantes : le nombre total d’alertes correspondantes avant le regroupement qui correspondent aux conditions définies pour cette automatisation.
      • Groupes d’alertes : nombre de groupes contenant plusieurs alertes correspondant aux conditions d’automatisation. Le plus petit nombre entre parenthèses représente le nombre de groupes créés par cette automatisation.
      • Dégroupées : nombre d’alertes correspondant aux conditions d’automatisation qui restent non groupées.
      • Compression : réduction en pourcentage du nombre total d’alertes obtenue par regroupement, calculée comme suit : 1 - (Groupes d’alertes + non groupées)/Total des alertes. Vous pouvez améliorer le taux de compression en regroupant vos alertes par problèmes connexes. Le plus petit nombre entre parenthèses indique le pourcentage d’alertes correspondantes compressées par cette automatisation.
      • Lorsque le type de critère est CI associés :
        • Le lien Ouvrir la carte des dépendances CI s’affiche dans la section Automatisation des tests.
        • Le champ Élément de configuration s’affiche .

      La section Automatisation des tests affiche trois colonnes clés : Description, Type et Heure. La colonne Description décrit les détails du groupe d’alertes. Avant la colonne Description , un nombre indique le nombre total d’alertes contenues dans ce groupe. Type spécifie la catégorie de regroupement, telle que Cette automatisation de regroupement, Autre automatisation de regroupement, Groupe CMDB ou Alerte unique, entre autres. Sélectionner une autre automatisation de regroupement vous dirige vers la page d’automatisation correspondante qui a généré le groupe. En outre, la colonne Heure indique quand le test a été effectué.

      Important :
      Vous pouvez exécuter la simulation d’alertes sur votre instance de test ainsi que sur votre instance de production. L’automatisation des tests simule l’automatisation en utilisant jusqu’à 200 alertes récentes qui correspondent aux conditions spécifiées. Elle ne prend en compte que les groupes pour lesquels toutes les alertes remplissent les conditions de cette automatisation, bien que des algorithmes de regroupement supplémentaires puissent être appliqués pendant l’exécution réelle.
    11. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est enregistrée avec succès. Sinon, un message d’erreur s’affiche. L’automatisation de groupe que vous avez créée apparaît sur la page Alertes de groupe où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez escalader des alertes nécessitant des réponses plus rapides de la part d’équipes ou de personnes en implémentant Créer une automatisation de réponse.