Regroupement d’alertes
Le regroupement d’alertes est le processus d’organisation et de consolidation des alertes connexes en ensembles basés sur des caractéristiques ou des critères communs. Cela permet de simplifier la gestion des alertes en réduisant le bruit, ce qui facilite la hiérarchisation, le suivi et la résolution efficaces des problèmes. Les alertes groupées fournissent une vue d’ensemble plus claire des incidents associés, ce qui accélère l’analyse de la cause première et la correction.
Approches du regroupement d’alertes
Plusieurs approches sont disponibles pour le regroupement d’alertes. Certaines méthodes s’appuient sur une logique définie par l’utilisateur, comme Manuel, Basée sur des règles ou Agrégat de balises, tandis que d’autres utilisent des algorithmes avancés qui peuvent être affinés, notamment Automatique, CMDB, Textuel et Log Analytics.
| Type | Description | Cas d'utilisation |
|---|---|---|
| Regroupement d’analyse de journaux | Les alertes sont regroupées en fonction de l’analyse des données de journal. Il s’agit de corréler les entrées de journal pour identifier les incidents et les problèmes associés. En exploitant les modèles et les séquences de journaux, cette méthode peut détecter des problèmes complexes à plusieurs étapes dans l’ensemble de l’environnement informatique. | Une société de jeux en ligne surveille les journaux de ses serveurs de jeu pour détecter les problèmes. L’analyse des journaux identifie un modèle d’erreurs se produisant avant que le serveur ne tombe en panne. Ces alertes connexes sont regroupées, ce qui permet à l’équipe informatique d’enquêter et de corriger la cause première, telle qu’un bogue spécifique dans le code du jeu à l’origine des plantages. |
| Regroupement basé sur des règles | Les alertes sont regroupées selon des règles et des critères prédéfinis définis par les utilisateurs. Ces règles peuvent inclure des conditions spécifiques, telles que des seuils ou des types d’événements. Cette méthode est efficace pour obtenir des modèles cohérents et reproductibles, mais nécessite une maintenance des règles. | Une entreprise met en place des règles pour regrouper les alertes de son site e-commerce pendant les périodes de forte affluence. Lors d’une vente flash, plusieurs alertes concernant les délais de réponse lents sont regroupées en fonction de règles prédéfinies qui identifient ces conditions spécifiques, ce qui permet à l’équipe informatique d’identifier et de résoudre rapidement le problème sous-jacent de surcharge des serveurs. |
| Regroupement automatisé |
Des algorithmes avancés identifient et regroupent automatiquement les alertes connexes en fonction de modèles et de similitudes dans les données d’alerte. Cette méthode tire parti de l’apprentissage automatique et de l’IA pour s’adapter aux problèmes nouveaux et inconnus, offrant ainsi une gestion proactive des alertes. Gestion des événements Regroupe les alertes similaires, mais pas nécessairement identiques, en fonction de la proximité dans le temps de la dernière génération d’événements. Les alertes avec le même CI sont regroupées. Le regroupement automatique d’alertes se compose des composants suivants.
|
Une grande institution financière doit gérer les alertes provenant de milliers de serveurs et d’applications. Les algorithmes d’apprentissage machine analysent les modèles dans les données d’alerte et regroupent automatiquement les alertes connexes, telles qu’une série d’alertes de sécurité indiquant une violation potentielle, ce qui permet à l’équipe de sécurité de traiter rapidement la menace. |
| Regroupement basé sur CMDB | Les alertes sont regroupées en fonction des relations et des dépendances des éléments de configuration (CI) provenant de la Base de données de gestion des configurations (CMDB). Cette approche garantit que les alertes associées à des composants d’infrastructure ou à des services spécifiques sont regroupées, ce qui permet une gestion contextuelle des incidents. | Une entreprise de télécommunications utilise les données CMDB pour gérer les alertes liées à son infrastructure réseau. Les alertes associées à un routeur réseau spécifique et à ses périphériques connectés sont regroupées en fonction de leurs relations CMDB, ce qui permet à l’équipe réseau de voir tous les problèmes associés et de traiter efficacement la cause première. |
| Regroupement basé sur du texte | Les alertes sont regroupées en analysant le contenu textuel des alertes pour identifier les similitudes et les problèmes connexes. Les techniques de traitement du langage naturel (NLP) sont souvent utilisées pour trouver des points communs dans les descriptions des alertes, ce qui rend cette méthode efficace pour les données non structurées. | Un centre de services IT reçoit un grand nombre d’alertes avec des descriptions variables. À l’aide du traitement du langage naturel, le système regroupe les alertes qui mentionnent des problèmes similaires, tels qu’une erreur de connexion à la base de données ou l’impossibilité de se connecter à la base de données, ce qui aide l’équipe informatique à identifier un problème de base de données généralisé ayant un impact sur plusieurs services. |
| Regroupement de grappes de balises | Les alertes sont classées et regroupées à l’aide de balises ou d’étiquettes qui représentent des attributs communs, tels que l’application, le type de serveur ou l’emplacement géographique. Cette méthode permet un regroupement flexible et dynamique basé sur des stratégies de marquage évolutives. | Une organisation balise les alertes par région géographique pour gérer plus efficacement son infrastructure informatique mondiale. Toutes les alertes provenant de serveurs situés en Irlande sont automatiquement regroupées à l’aide de balises d’emplacement, ce qui permet à l’équipe informatique de voir et de répondre rapidement aux problèmes régionaux, tels qu’une panne de courant affectant ce centre de données spécifique. |
| Regroupement manuel | Les utilisateurs sélectionnent et regroupent manuellement les alertes connexes en fonction de leur expertise et de leur compréhension du système. Cette approche permet un contrôle précis, mais peut prendre beaucoup de temps et peut manquer des corrélations automatisées. | Un administrateur système reçoit plusieurs alertes concernant différents services défaillant sur un seul serveur. L’administrateur regroupe manuellement ces alertes, en reconnaissant qu’elles sont toutes liées à une seule défaillance matérielle sur ce serveur, et donne la priorité à la résolution du problème matériel pour restaurer tous les services. |
Le regroupement manuel et basé sur des règles diffère du regroupement basé sur un algorithme principalement par la façon dont l’alerte parente est choisie. Dans le regroupement manuel, basé sur des règles ou l’analyse de journaux, l’une des alertes réelles est désignée comme alerte parente. Dans les modes Automatique, CMDB, Basé sur le texte et Groupe de balises, une alerte virtuelle, représentant l’alerte la plus ancienne et la plus grave du groupe, est créée en tant qu’alerte parente.
Remarque :
Dans les environnements séparés par domaine, les groupes d’alertes sont créés uniquement pour les alertes du même domaine.
Pour en savoir plus sur les travaux planifiés et les paramètres, reportez-vous à Travaux planifiés et paramètres pour le regroupement d’alertes. Pour en savoir plus sur les différents types de regroupement, reportez-vous à la section Types de regroupement d’alertes.
Avantages du regroupement d’alertes
- Créer des groupes d’alertes automatisés en agrégeant les alertes en fonction de modèles prédéfinis.
- Corréler les alertes à l’aide d’horodatages et d’identification de CI pour former des groupes d’alertes automatisés.
- Formation CMDBregroupement d’alertes basé sur par corrélation des alertes basées sur les relations CI dans la CMDB
- Corréler les alertes en fonction de la similarité du texte des alertes à l’aide du traitement du langage naturel (NLP).
- Génération de modèles pour ajouter une alerte à un groupe d’alertes et création de groupes d’alertes automatisés en conséquence.