Regroupement d’alertes basé sur des règles
Le regroupement d’alertes basé sur des règles est créé par des règles de corrélation des alertes. Ces règles vous permettent de classer manuellement les alertes comme primaires ou secondaires et d’établir une relation entre elles. Utilisez des règles de corrélation des alertes pour regrouper les alertes connexes. La règle s’exécute uniquement pour les nouvelles alertes ou les alertes dont l’état est passé de la fermeture/du bagottement à l’ouverture/la réouverture.
Si le regroupement d’alertes basé sur des règles est appliqué, les alertes secondaires indiquant que les ordinateurs virtuels ou les applications du serveur hors connexion sont également en panne sont regroupées sous l’alerte primaire, qui est l’alerte racine indiquant que le serveur est hors ligne. Pour afficher le regroupement d’alertes basé sur des règles dans la liste Express, reportez-vous à la section Affichage des liens entre les alertes dans les groupes d’alertes basés sur des règles.
Alertes primaires et secondaires
- Alerte primaire : identifie la cause première d’un groupe d’alertes et représente ses alertes secondaires.
- Alerte secondaire : associées au même problème, elles sont regroupées sous l’alerte primaire. L’objectif des alertes secondaires est de déterminer quelles alertes supprimer, ce qui réduit le bruit des alertes et vous permet de vous concentrer sur l’alerte primaire.
Comment les alertes primaires et secondaires interagissent-elles ?
Dans le regroupement d’alertes basé sur des règles, l’une des alertes réelles est désignée comme alerte primaire. Les conditions de filtre des alertes primaires et secondaires spécifient quelles alertes sont classées comme primaires et lesquelles comme secondaires. Les critères de filtre sont appliqués à la table Alerte [em_alert].
Dans ce regroupement d’alertes, les alertes primaires et secondaires sont visibles, mais les alertes secondaires sont regroupées sous l’alerte primaire. La propriété Conservez l’alerte secondaire ouverte lorsque le serveur primaire est fermé. Pour les contrôles manuels ou basés sur des règles (evt_mgmt.rule_based_manual_closure), contrôle si les alertes secondaires restent ouvertes ou sont fermées lorsque l’alerte primaire est fermée.
Si la propriété n’est pas sélectionnée (c.-à-d. définie sur Non), une fois l’alerte primaire fermée, la référence parent est supprimée des alertes secondaires (le regroupement est dissous), et les alertes secondaires sont fermées et deviennent autonomes. Si vous cochez la case correspondant à la propriété (c.-à-d. que vous la définissez sur Oui) et que l’alerte primaire est fermée, la référence parent est supprimée des alertes secondaires (le regroupement est dissous), ce qui entraîne leur désactivation en tant qu’alertes ouvertes autonomes.
Lorsque la gravité de l'alerte primaire passe à l'état Fermé, les alertes secondaires sont également définies sur Fermé, à moins qu'elles ne fassent partie d'autres groupes où l'alerte primaire n'est pas encore à l'état Fermé.
Hiérarchie des alertes
Un seul niveau d'alertes secondaires est autorisé. Dans les cas où une alerte secondaire possède sa propre alerte secondaire, l'application Event Management aplatit la hiérarchie pour ne conserver que deux niveaux.
Par exemple, supposons que l'alerte A soit l'alerte primaire et que l'alerte B soit l'alerte secondaire. Si l'alerte C devient une alerte secondaire pour l'alerte B, l'application aplatit la hiérarchie de sorte que A reste l'alerte principale et que B et C deviennent des alertes secondaires sœurs, d'un niveau inférieur à A.
- Règle 1 (avec une valeur d'ordre de 1) : B devient une alerte primaire pour A.
- Règle 2 (avec une valeur d'ordre de 2) : A devient une alerte primaire pour C et D.
- Règle 3 (avec une valeur d'ordre de 3) : E devient une alerte primaire pour A.
Lorsque les alertes B, C, D et E sont déclenchées, elles figurent toutes dans la liste d'alertes séparément, car il n'y a aucune corrélation entre elles.
- La règle 1 crée une alerte secondaire sous l'alerte B.
- La règle 2 place les alertes secondaires C et D sous l'alerte A.
- La règle 3 convertit A en alerte secondaire et la place sous l'alerte E ; l'alerte A dispose donc de deux alertes primaires au-dessus d'elle dans la hiérarchie.
Par conséquent, si toutes les alertes sont déclenchées, seules les alertes B et E apparaissent dans la liste d'alertes, indiquées comme alertes primaires.