Créer une règle de corrélation des alertes
Créez une règle de corrélation des alertes pour spécifier une alerte primaire et une alerte connexe d'importance secondaire.
Avant de commencer
Procédure
-
Renseignez les champs du formulaire.
Tableau 1. Formulaire Règle de corrélation des alertes Champ Description Nom Nom descriptif pour la règle de corrélation. Ordre Priorité d'évaluation des règles. Les règles avec des valeurs d'ordre inférieur sont prioritaires. Une alerte est vérifiée pour chaque règle d'action d'alerte jusqu'à ce qu'une correspondance soit trouvée. Active Sélectionnez cette option pour activer la règle. Avancé Sélectionnez cette option pour afficher le champ Script. Cette option vous permet de scripter les corrélations d'événements. Description Description de la règle. Alerte primaire Condition de filtre pour identifier l'alerte primaire, ou l'alerte la plus importante, dans un ensemble d'alertes connexes. Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.
Alerte secondaire Condition de filtre permettant d'identifier l'alerte liée à l'alerte primaire, mais d'une importance moindre. Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.
Filtre Condition de filtre permettant d'identifier l'alerte sur laquelle le script est exécuté. Le champ Filtre n'est disponible que si vous sélectionnez l'option Avancé.
Les paramètres de filtre sont sensibles à la casse par défaut. Pour désactiver la sensibilité à la casse, définissez le paramètre sa_analytics.correlation_case_sensitive sur faux.
Type de relation Spécifiez le type de relation entre l'alerte primaire et l'alerte secondaire : - Aucune relation : ignorez la relation lorsque vous recherchez une correspondance.
- Même CI ou nœud : associez les deux alertes au même CI. Si le champ CI est vide, les alertes doivent avoir la même valeur de nœud.
- Le primaire est parent : la relation est établie du parent (primaire) vers l'enfant, comme décrit dans la table Types de relations CI [cmdb_rel_ci]).
- Le primaire est enfant : la relation est établie de l'enfant (primaire) vers le parent, comme décrit dans la table Relations CI [cmdb_rel_ci]).
Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.
Différences de temps, en minutes Nombre de minutes au cours desquelles l'événement primaire et l'événement secondaire doivent se produire pour correspondre à cette règle. La valeur par défaut est de 60 minutes. Remarque :La valeur de cette entrée ne peut pas dépasser 1 440 minutes (un jour).Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.
Script Script personnalisé que vous pouvez modifier pour renvoyer une chaîne JSON qui spécifie les alertes primaires et secondaires. Sélectionnez l'option Avancé pour afficher le champ de script.
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]} for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts. You can use both multiple primary alerts and multiple secondary alerts. The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. CurrentAlert is the GlideRecord of the currentAlert on which that rule runs. The system supports only one primary per alert, so: Do not correlate more than one alert under the PRIMARY array. Do not correlate alerts that already have a primary under the SECONDARY array. The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. */ (function findCorrelatedAlerts(currentAlert){ var result = {}; //Insert your code here result = {'SECONDARY':['alertID1','alertID2','alertID3']}; return JSON.stringify(result); })(currentAlert);Relation Description de la relation CI entre le primaire et le secondaire, par exemple, Alloué de::Alloué à ou Alloué à::Alloué de. Ce champ s'affiche uniquement si vous sélectionnez Le primaire est parent ou Le primaire est enfant pour le type de relation.
Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.