Créer une automatisation enrichie

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • L’enrichissement des alertes implique la transformation des événements bruts des outils de surveillance en un format standard, ce qui facilite le regroupement et la réponse automatisés. Il s’agit notamment d’extraire les champs de longues charges utiles d’alerte ou de les composer dans un format standardisé. En outre, vous pouvez créer des balises, qui sont des métadonnées ajoutées aux alertes pour faciliter le filtrage et le regroupement.

    Avant de commencer

    Rôle requis : evt_mgmt_admin ou srm_responder

    Pourquoi et quand exécuter cette tâche

    L’extraction prend les valeurs des champs de charge utile d’événement et les place dans les champs de sortie d’alerte, tandis que la composition combine plusieurs champs d’alerte en un seul. Pour plus d'informations, consultez Extraction et composition de champs d’alerte.

    Pour les utilisateurs familiarisés avec l’expérience classique Gestion des événements , les automatisations enrichies offrent une interface simplifiée avec une meilleure prise en charge par les équipes de l’étape de transformation et de composition des règles d’événement. Les règles d’événements offrent des fonctionnalités plus avancées, telles que les remplacements de liaison, qui ne sont actuellement disponibles que pour les administrateurs. Les administrateurs peuvent également enrichir les alertes avec des règles de mappage de champs d’événements.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans la navigation primaire, sélectionnez l’icône Automatisation des alertes ( icône Automatisations des alertes).
    3. Sur la page Automatisation des alertes, sous Types d’automatisation, sélectionnez Enrichir.
      La page Enrichir les alertes s’affiche.
      Enrichir la page d'automatisation
    4. Sélectionnez Créer une automatisation.
    5. Dans le champ Nom de l’automatisation , saisissez le nom de l’automatisation pour enrichir les alertes.
      Page Enrichir la règle dans laquelle vous pouvez fournir un nom d’automatisation, définir des conditions et des actions.
    6. Activez l’automatisation en activant l’interrupteur à bascule Actif .
    7. Pour continuer à exécuter d’autres automatisations d’enrichissement avec les mêmes conditions de filtre après l’exécution de cette automatisation, activez le commutateur Continuer à exécuter des automatisations de ce type .
      Lorsque cette option est désactivée, les automatisations supplémentaires de ce type cesseront de s’exécuter après que cette automatisation aura été exécutée une fois. Si l’automatisation est gérée par un administrateur, elle cessera d’exécuter les automatisations appartenant à l’administrateur, mais continuera d’exécuter les automatisations appartenant à d’autres groupes d’affectation.
    8. Dans la section Si ces conditions sont remplies , configurez des critères de filtre pour identifier les alertes que vous souhaitez enrichir.

      La condition est évaluée par rapport à l’événement brut reçu du système de surveillance de la source et ne tient pas compte des champs enrichis.

      1. Dans le menu de champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer quelles alertes d’équipe déclencheront l’automatisation.

        Le groupe d’affectation représente une équipe spécifique responsable de la gestion de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur, seul le groupe dont vous faites partie est disponible.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Dans le menu Champ source , sélectionnez l’outil de surveillance à partir duquel l’alerte est générée.
      3. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ensuite, ajoutez d’autres conditions à l’aide des opérateurs OR ou ET.

        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.

    9. Dans la section Ensuite, appliquez les actions suivantes , sélectionnez les actions d’automatisation qui seront déclenchées par cette automatisation.
      Vous devez sélectionner au moins une action.
      • Extraire les champs d’alerte : récupère les valeurs de champ d’alerte à partir de la charge utile de l’événement et les place dans un champ de sortie d’alerte.
      • Copier ou composer des champs : fusionne divers champs d’alerte, balises et texte pour générer une sortie d’alerte composée.
      OptionAction
      Extraire des champs d'alertes
      1. Activez le bouton bascule Extraire les champs d’alerte .
      2. Dans le menu Champ d’entrée source , sélectionnez une valeur. Le menu affiche les champs d’événement standard, des informations supplémentaires et des balises. La valeur du champ s’affiche alors. Vous pouvez également saisir manuellement un nom de champ qui n’est pas affiché et ajouter votre propre valeur.

        Le volet Exemple d’événements sources affiche un échantillon d’événements récents survenus dans votre système. Si aucun événement n’est affiché, vous pouvez créer un événement (reportez-vous à la section Créer ou modifier une règle d'événement.

      3. Dans le champ Expression régulière , créez une expression régulière pour extraire la valeur que vous souhaitez extraire.
        Remarque :
        Vous pouvez composer du texte en utilisant les conventions de format d’expression régulière (regex). Utilisez un ou plusieurs groupes de capture avec des parenthèses pour extraire des parties de l’entrée. Les groupes de capture de l’expression régulière sont affectés aux sorties d’alerte en fonction de l’ordre dans lequel elles apparaissent. La regex doit correspondre à l’ensemble de l’entrée, pensez donc à entourer votre regex de .* à chaque extrémité. Par exemple, (\w+).acme.com.* capture le nom d’hôte dans un nom de domaine complet. L’analyseur du moteur regex est compatible avec les expressions régulières compatibles Perl (PCRE).

      4. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte. Vous pouvez également saisir manuellement un nouveau nom de champ.

        Si vous souhaitez ajouter une balise d’alerte, cochez la case Définir comme balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Extraire des champs d'alertes
      5. Sélectionnez Prévisualiser plusieurs événements pour vérifier que l’expression régulière (regex) est suffisamment polyvalente pour extraire correctement les valeurs dans de nombreux exemples.
        Remarque :
        Cette option n’est disponible que lorsque des exemples d’événements sources sont disponibles et mis en correspondance avec le filtre regex.
        Prévisualiser les valeurs extraites de plusieurs événements

      Pour inclure des champs supplémentaires pour l’extraction, sélectionnez + Ajouter des champs.
      Copier ou composer des champs
      1. Activez le bouton bascule Copier ou composer des champs .
      2. Dans le menu Champ d’entrée source , sélectionnez des champs d’alerte et/ou des balises d’alerte, saisissez manuellement un nom de champ ou ajoutez même du texte libre. Les champs d’alerte sont affichés au format syntaxique ${field} .
      3. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte existant, ou saisissez manuellement un champ d’alerte. Le champ de sortie d’alerte est une alerte enrichie contenant les données d’alerte composées.
        Pour faciliter le regroupement, vous pouvez sélectionner une balise dans le menu. Si vous souhaitez utiliser le nouveau nom de champ en tant que balise pour le regroupement, cochez la case Définir comme balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Composer des champs d’alerte

      Pour créer des compositions de données d’alerte supplémentaires, sélectionnez + Ajouter des champs.
    10. Dans la section Détails de l’automatisation , fournissez une commande et une description de l’automatisation.
      Enrichir la section des détails de l’automatisation
      1. Dans le champ Ordre , saisissez l’ordre d’automatisation.
        Remarque :
        Les automatisations s’exécutent dans l’ordre, de la plus basse à la plus élevée. Assurez-vous qu’il n’y a pas d’automatisations d’enrichissement avec un numéro d’ordre inférieur dont les conditions sont correspondantes et dont l’option Appliquer les automatisations supplémentaires de ce type est définie sur faux. Dans le cas contraire, cela peut empêcher l’exécution d’automatisations ultérieures.

        Le champ Automatisation gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .

      2. Dans le champ Description de l’automatisation , entrez une brève description de l’automatisation.
    11. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est enregistrée avec succès. Dans le cas contraire, un message d’erreur s’affiche. L’automatisation d’enrichissement que vous avez créée apparaît sur la page Enrichir les alertes où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez gérer les alertes plus efficacement en regroupant des alertes similaires à l’aide de Créer une automatisation de groupe.