Formulaire Règle de corrélation des alertes

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Gérez les champs qui définissent la façon dont les alertes sont corrélées et regroupées.

    Tableau 1. Formulaire Règle de corrélation des alertes
    Champ Description
    Nom Nom de la règle de corrélation.
    Commande Priorité d’évaluation de la règle. Les règles avec des valeurs numériques inférieures ont la priorité. Une alerte est évaluée par rapport à chaque règle d’action d’alerte jusqu’à ce qu’une correspondance soit trouvée.

    Par exemple, si vous avez deux règles de corrélation des alertes avec les priorités 10 et 20, respectivement, la règle avec une priorité 10 sera évaluée en premier. Si une alerte correspond aux critères de la règle de priorité 10, aucune autre règle ne sera vérifiée. Si elle ne correspond pas, l’alerte est alors évaluée par rapport à la règle de priorité 20.
    Actif Option permettant d’activer ou de désactiver la règle.
    Avancés Option permettant de passer en mode avancé, qui vous permet d’utiliser des scripts personnalisés pour définir votre propre logique. L’exemple de règle de corrélation, SAMPLE, est fourni prêt à l’emploi à titre de référence. Vous pouvez utiliser le script disponible comme guide.
    Remarque :
    La condition de filtre spécifie les alertes auxquelles la règle s’appliquera. Assurez-vous que la même condition est utilisée dans le script avancé pour identifier les alertes à inclure dans le groupe.
    Description Description de la règle.
    Alerte primaire Condition de filtre pour identifier l'alerte primaire, ou l'alerte la plus importante, dans un ensemble d'alertes connexes.

    Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.
    Alerte secondaire Condition de filtre permettant d'identifier l'alerte liée à l'alerte primaire, mais d'une importance moindre.

    Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.
    Filtre Condition de filtre permettant d'identifier l'alerte sur laquelle le script est exécuté.

    Le champ Filtre n'est disponible que si vous sélectionnez l'option Avancé.

    Les paramètres de filtre sont sensibles à la casse par défaut. Pour désactiver la sensibilité à la casse, définissez le paramètre sa_analytics.correlation_case_sensitive sur faux.
    Type de relation Spécifiez le type de relation entre l'alerte primaire et l'alerte secondaire :
    • Aucune relation : ignorez la relation lorsque vous recherchez une correspondance.
    • Même CI ou nœud : associez les deux alertes au même CI. Si le champ CI est vide, les alertes doivent avoir la même valeur de nœud.
    • Le principal est parent : reliez les alertes où l’alerte primaire est le parent dans une relation parent-enfant, comme décrit dans la table Types de relations CI [cmdb_rel_ci].
    • Primaire est enfant : relie les alertes où l’alerte primaire est l’enfant dans une relation enfant-parent, comme décrit dans la table Relations CI [cmdb_rel_ci].

    Ce champ n’apparaît pas lorsque la case Avancé est cochée.
    Différences de temps, en minutes Nombre de minutes au cours desquelles l'événement primaire et l'événement secondaire doivent se produire pour correspondre à cette règle. La valeur par défaut est de 60 minutes.
    Remarque :
    La valeur de cette entrée ne peut pas dépasser 1 440 minutes (un jour).

    Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.
    Script Script personnalisé que vous pouvez modifier pour renvoyer une chaîne JSON qui spécifie les alertes primaires et secondaires.

    Sélectionnez l'option Avancé pour afficher le champ de script.

    
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
    Relation Description de la relation CI entre le primaire et le secondaire, par exemple, Alloué de::Alloué à ou Alloué à::Alloué de.

    Ce champ s'affiche uniquement si vous sélectionnez Le primaire est parent ou Le primaire est enfant pour le type de relation.

    Relation

    Ce champ n'est pas disponible lorsque l'option Avancé est sélectionnée.