Gestion des opérations informatiques à Washington DC
ft:clusterId
itom
bundleId
itom
workflow
Technology
Créer des filtres avancés d'alerte de journal
Rversion finale: Washingtondc
Mis à jour 1 févr. 2024
2 minutes de lecture
Ajoutez des filtres d'alerte de journal avancés afin d'analyser les alertes pour les conditions que vous spécifiez. Les filtres réduisent le bruit en supprimant les alertes qui ne signalent pas des problèmes importants. Lorsque vous développez un filtre, vous pouvez tester, mettre à jour, publier ou activer le filtre à tout moment.
Avant de commencer
Rôle requis : admin
La fonctionnalité Désactiver le moteur de règle d'alerte et la fonctionnalité Désactiver le moteur de règle de détection doivent être à l'état Désactivé. Vous définissez les valeurs en accédant à Analyse de l'intégrité des journaux > Health Predictive AI Ops Administration > Fonctionnalités.
Rôle requis : evt_mgmt_operator ou evt_mgmt_admin
Procédure
Accédez à la Analyse de l'intégrité des journaux > Détection d'anomalie de journal > Filtre avancé d'alerte de journal.
Sélectionnez Nouveau.
Entrez un nom unique et descriptif pour le filtre.
Facultatif : Entrez une description du fonctionnement du filtre.
Dans le champ Modèle de script, sélectionnez le script qui correspond le plus à votre logique cible.
Le modèle peut servir de point de départ pour votre code de script personnalisé.
Après avoir sélectionné un modèle, la zone de texte Fonction JS personnalisée est renseignée avec la fonction JavaScript appropriée. La fonction JavaScript applique le filtre aux données de charge utile de l'alerte et autorise ou supprime l'alerte. La charge utile de l'alerte est le texte et les métadonnées pour le type d'alerte que le filtre analysera.
Enregistrez l'enregistrement en sélectionnant Soumettre.
Pour continuer à modifier le filtre, vous devez rouvrir l'enregistrement à partir de la liste de filtres. Vous pouvez ensuite modifier, tester, publier et activer le filtre.
Modifiez le texte Charge utile de l'alerte par défaut en préparation du test de votre logique cible.
Pour supprimer vos changements et revenir au texte par défaut de la zone de texte Charge utile de l'alerte, cliquez sur Réinitialiser.
Pour vous faciliter la tâche, Analyse de l'intégrité des journaux fournit des exemples d'alertes avec des charges utiles préconfigurées. Sélectionnez un exemple d'alerte dans le champ Exemple d'alerte pour afficher sa charge utile dans la zone de texte Charge utile de l'alerte.
Facultatif : Enregistrez les valeurs actuelles du filtre sans les tester en sélectionnant Mettre à jour.
Une fois le contenu de la charge utile de l'alerte et de votre fonction JavaScript renseigné, sélectionnez Test.
Pour simuler l'opération d'alerte, le système enregistre les valeurs de filtre, applique le filtre au texte Charge utile, puis affiche l'un des résultats suivants :
L'alerte sera abandonnée.
L'alerte sera autorisée.
Figure 1. Tester JavaScript pour déterminer s'il faut autoriser ou supprimer l'alerte
Remarque :
Si votre nouvelle fonction JavaScript ne se comporte pas comme prévu, vous pouvez revenir à la dernière publication en sélectionnant le lien connexe Rétablir la fonction JS.
Répétez le processus de mise à jour de la charge utile de l'alerte et testez la fonction JavaScript aussi souvent que nécessaire.
Lorsque vous êtes satisfait du filtre, enregistrez ses valeurs et déterminez s'il faut l'appliquer au flux de journal.
Pour enregistrer les valeurs et appliquer le filtre au flux de journal, assurez-vous que la case Actif est cochée et sélectionnez Publier.
Pour enregistrer le filtre sans l'appliquer au flux de journal, décochez la case Actif et sélectionnez Publier.
Remarque :
Si vous modifiez un filtre publié, vous devez publier le filtre modifié pour l'appliquer au flux de journal.
Résultats
Les valeurs du filtre actif sont enregistrées. Si vous avez sélectionné l'option Actif, le filtre est appliqué au flux de journal.