Agrégation d'alertes

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

4 minutes de lecture

La fonctionnalité d'agrégation d'alertes améliore Gestion des événements avec l'analyse des données d'alerte et l'agrégation d'alertes. L'agrégation d'alertes permet d'organiser les alertes entrantes en temps réel et de réduire le bruit des alertes.

Les clients sont souvent confrontés à un bruit d'alerte élevé et à un délai moyen de réparation trop long. La gestion de nombreuses alertes, qui ne sont pas logiquement regroupées, entraîne des frais généraux conséquents.

L’agrégation d’alertes est l’une des nombreuses façons de gérer les alertes. Il existe plusieurs approches pour regrouper les alertes. Certains sont basés sur la logique que vous avez définie (manuelle, basée sur des règles ou grappe de balises) et sur d’autres algorithmes de pointe que vous pouvez affiner (automatique, CMDB, textuel et Log Analytics). Il existe des différences de comportement entre les alertes basées sur des règles et les alertes manuelles. La principale différence est que, lorsque le groupe est créé, l’une des alertes réelles est choisie comme alerte parente. En mode Automatique, CMDB, Basé sur Texte, vous pouvez créer une alerte virtuelle qui est le parent des alertes réelles. Le prototype d’alerte virtuelle est l’alerte la plus ancienne et la plus grave du groupe.

Les groupes d’alertes sont constitués d’alertes parentes et enfants. Les alertes parentes peuvent être une alerte réelle (manuelle, basée sur des règles et Log Analytics) ou virtuelle (automatique, CMDB, textuelle ou en grappe de balises).

Pour regrouper les alertes dans des groupes automatiques, CMDB et basés sur le texte , une tâche planifiée « Alertes de groupe d’analytique de services à l’aide de l’agrégation d’alertes/RCA », qui s’exécute généralement une fois par minute, est utilisée.

Les paramètres suivants sont utilisés pour définir les alertes à regrouper :

Le sa_analytics.aggregation_enabled paramètre. Activez la création de groupes d’alertes automatisés en définissant la propriété Activer l’agrégation d’alertes pour les groupes automatisés, CMDB et basés sur le texte sur true.
Paramètre sa_analytics.agg.query_dynamic_window . Cette valeur est définie par défaut sur 10 minutes. Le paramètre définit la différence de temps maximale entre l’heure de génération du dernier événement de deux alertes qui peuvent être ajoutées à un groupe, avec une valeur par défaut de 600 secondes (10 minutes).
Paramètre sa_analytics.agg.query_max_group_lifetime . Période maximale entre la dernière génération d’événement de la première alerte et la dernière génération d’événement de la dernière alerte dans le groupe. Le paramètre est défini par défaut sur 1 800 secondes (30 minutes).
Remarque :
Dans les cas où les événements sont arrivés avec un retard supérieur à 1 800 secondes, la dernière génération d’événements des alertes peut être associée au groupe en définissant le paramètre sa_analytics.agg.group_expiration_time avec une valeur supérieure à 1 800 secondes.

Par exemple : supposons que vous ayez les alertes suivantes avec le même CI. (Ils peuvent tous être ajoutés au même groupe CMDB).

Alerte1 : dernière génération d’événement 01 :00 :00 AM
Alerte2 : dernière génération d’événement 01 :11 :00 AM
Alerte3 : dernière génération d’événement 01 :13 :00 AM
Alerte4 : dernière génération d’événement 01 :16 :00 AM
Alerte5 : dernière génération d’événement 01 :25 :00 AM
Alerte6 : dernière génération d’événement 01 :34 :00 AM
Alerte7 : dernière génération d’événement 01 :43 :00 AM

Alert1 et Alert2 ne sont pas regroupées, car le décalage horaire entre elles est supérieur à 10 minutes.

Alert2 et Alert3 créent un groupe à 1 :13 :00.

La fenêtre dynamique de 10 minutes commence comme suit :

L’alerte4 est ajoutée au groupe à 1 :16 :00 et la fenêtre dynamique de 10 minutes est redémarrée.
L’alerte5 est ajoutée au groupe, car l’heure de génération de son dernier événement est inférieure à 10 minutes après 1 :16 :00.
L’alerte6 est ajoutée au groupe.

L’alerte7 qui est arrivée 9 minutes après l’alerte6 n’est pas ajoutée au groupe, car la sa_analytics.agg.query_max_group_lifetime limite de 30 minutes s’est écoulée après la création du groupe 1 :13 :00+30 = 1 :43 :00.

Utilisez l'agrégation d'alertes pour effectuer les tâches suivantes :

Regrouper les alertes pour créer des groupes d'alertes automatisés.
Corréler les alertes en fonction de l'horodatage et de l'identification de CI pour créer des groupes d'alertes automatisés.
Corréler les alertes en fonction des relations de CI dans la CMDB pour créer des Groupes d'alertes CMDB.
Corréler les alertes en fonction de la similarité de texte des alertes à l’aide du traitement du langage naturel (NLP).
Générez un modèle pour un Ajouter une alerte à un groupe d'alertes , puis créez un groupe d’alertes automatisé en fonction de ce modèle.

Les groupes d'alertes de Gestion des événements sont similaires, mais pas nécessairement identiques. Le regroupement est également basé sur la proximité dans le temps de la dernière génération d’événement des alertes. Les alertes avec le même CI sont regroupées.

L’agrégation automatique d’alertes comporte les composants suivants :

Tâche d’apprentissage d’agrégation d’alertes (tâche d’apprentissage d’agrégation d’alertes d’analytique de services : quotidienne) : tâche hors ligne qui s’exécute quotidiennement pour traiter les alertes passées et effectuer une analyse statistique afin de créer des modèles d’alerte. Pour plus de détails, voir Configurer l’agrégation d’alertes basée sur un modèle.
Tâche d’agrégation d’alertes en temps réel (regroupement d’alertes de l’analytique de services à l’aide de l’agrégation d’alertes/RCA) : s’exécute toutes les minutes et génère des groupes d’agrégation d’alertes en fonction des modèles d’alerte, des relations CMDB et de la similarité du texte.

Remarque :

Dans les environnements séparés par domaine, les groupes d’alertes sont créés uniquement pour les alertes du même domaine.