Créer une automatisation d’enrichissement

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 10 minutes de lecture

    • L’enrichissement des alertes consiste à transformer les événements bruts d’outils de surveillance en un format standard, ce qui facilite le regroupement et la réponse automatisés. Cela inclut l’extraction des champs à partir de longues charges utiles d’alerte ou leur composition dans un format standardisé. En outre, vous pouvez créer des balises, qui sont des métadonnées ajoutées aux alertes pour faciliter le filtrage et le regroupement.

    Avant de commencer

    Rôle requis : evt_mgmt_admin ou srm_responder

    Pourquoi et quand exécuter cette tâche

    L’extraction prend des valeurs des champs de charge utile d’événement et les place dans des champs de sortie d’alerte, tandis que la composition combine plusieurs champs d’alerte en un seul. Pour plus d'informations, consultez Extraction et rédaction des champs d’alerte.

    Pour les utilisateurs familiarisés avec l’expérience classique Gestion des événements , l’automatisation d’enrichissement offre une interface simplifiée avec une meilleure prise en charge des équipes pour l’étape de transformation et de composition des règles d’événement. Les règles d’événements offrent des fonctionnalités plus avancées, telles que les remplacements de liaison, qui ne sont actuellement disponibles que pour les administrateurs. Les administrateurs peuvent également enrichir les alertes avec des règles de mappage de champs d’événements. En outre, la modification des valeurs d’alerte crée une règle de mappage de champ d’événement avec le type de mappage Mapper le champ et la valeur de transformation (champ unique). Cette règle est liée à la règle d’événement et s’exécute simultanément, ce qui permet un mappage et une transformation rationalisés des données d’événement afin d’enrichir les alertes.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans la navigation primaire, sélectionnez l’icône Automatisation des alertes (icône Automatisation des alertes).
    3. Sur la page Automatisation des alertes, sous Types d’automatisations, sélectionnez Enrichir.
      La page Enrichir les alertes s’affiche.
      Enrichir la page d'automatisation
    4. Sélectionnez Créer une automatisation.
    5. Dans le champ Nom de l’automatisation , entrez le nom de l’automatisation pour enrichir les alertes.
      Page de règles d’enrichissement dans laquelle vous pouvez fournir le nom de l’automatisation, définir les conditions et les actions.
    6. Activez l’automatisation en sélectionnant la case à cocher Actif .
    7. Pour continuer à exécuter d’autres automatisations d’enrichissement avec les mêmes conditions de filtre après l’exécution de cette automatisation, activez le commutateur Continuer l’exécution d’automatisations de ce type .
      Lorsqu’elle est désactivée, les automatisations supplémentaires de ce type s’arrêtent après une exécution unique. Si l’automatisation est gérée par un administrateur, elle arrête d’exécuter les automatisations appartenant à l’administrateur, mais continue d’exécuter les automatisations appartenant à d’autres groupes d’affectation.
    8. Dans la section Si ces conditions sont remplies , définissez des critères de filtre pour identifier les alertes que vous souhaitez enrichir.

      La condition est évaluée par rapport à l’événement brut reçu du système de surveillance de la source et ne tient pas compte des champs enrichis.

      1. Dans le menu du champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer les alertes de l’équipe qui déclencheront l’automatisation.

        Le groupe d’affectation désigne une équipe spécifique responsable du traitement de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle d’administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur, seul le groupe dont vous faites partie est disponible.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Dans le menu Champ Source , sélectionnez l’outil de surveillance à partir duquel l’alerte est générée.
      3. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ensuite, ajoutez d’autres conditions à l’aide des opérateurs OR ou ET.

        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.

    9. Dans la section Ensuite, appliquez les actions suivantes , sélectionnez les actions d’automatisation qui seront déclenchées par cette automatisation.
      Vous devez sélectionner au moins une action.
      • Extraire des champs d’alerte : récupère les valeurs de champ d’alerte à partir de la charge utile de l’événement et les place dans un champ de sortie d’alerte.
      • Copier ou composer des champs : fusionne divers champs d’alerte, balises et textes pour générer une sortie d’alerte composée.
      • Changer les valeurs d’alerte : mappe la valeur actuelle des champs d’alerte à de nouvelles valeurs spécifiées.
      OptionAction
      Extraire des champs d'alertes
      1. Activez le commutateur Extraire les champs d’alerte .
      2. Dans le menu du champ d’entrée source , sélectionnez une valeur. Le menu affiche les champs d’événement standard, les informations supplémentaires et les balises. La valeur du champ s’affiche alors. Vous pouvez également saisir manuellement un nom de champ qui n’est pas affiché et ajouter votre propre valeur.

        L’exemple du volet Événements sources affiche un échantillon des événements récents dans votre système. Si aucun événement n’est affiché, vous pouvez créer un événement, reportez-vous à la section Créer ou modifier une règle d'événement.

      3. Dans le champ Expression régulière , créez une expression régulière pour extraire la valeur que vous souhaitez extraire.
        Remarque :
        Vous pouvez composer du texte en utilisant les conventions de format d’expression régulière (regex). Utilisez un ou plusieurs groupes de capture avec des parenthèses pour extraire des parties de l’entrée. Les groupes de capture de l’expression régulière sont affectés aux sorties d’alerte en fonction de l’ordre dans lequel elles apparaissent. La regex doit correspondre à l’intégralité de l’entrée, pensez donc à entourer votre regex de .* à chaque extrémité. Par exemple, (\w+).acme.com.* capture le nom d’hôte dans un nom de domaine complet. L’analyseur du moteur regex est compatible avec les expressions régulières compatibles Perl (PCRE).

      4. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte. Vous pouvez également saisir manuellement un nouveau nom de champ.

        Si vous souhaitez ajouter une balise d’alerte, cochez la case Définir en tant que balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Extraire des champs d'alertes
      5. Sélectionnez Prévisualiser plusieurs événements pour vérifier que l’expression régulière (regex) est suffisamment polyvalente pour extraire correctement les valeurs dans de nombreux exemples.
        Remarque :
        Cette option n’est disponible que lorsque des exemples d’événements sources sont disponibles et mis en correspondance avec le filtre regex.
        Prévisualiser les valeurs extraites de plusieurs événements

      Pour inclure des champs supplémentaires pour l’extraction, sélectionnez + Ajouter des champs.
      Copier ou composer des champs
      1. Activez le commutateur Copier ou composer les champs .
      2. Dans le menu Champ d’entrée source , sélectionnez des champs d’alerte et/ou des balises d’alerte, saisissez manuellement un nom de champ ou même ajoutez du texte libre. Les champs d’alerte sont affichés au format de syntaxe ${field} .
      3. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte existant, ou saisissez manuellement un champ d’alerte. Le champ Sortie d’alerte est une alerte enrichie contenant les données d’alerte composées.
        Pour faciliter le regroupement, vous pouvez sélectionner une balise dans le menu. Si vous souhaitez utiliser le nouveau nom de champ comme balise pour le regroupement, cochez la case Définir comme balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Composer des champs d’alerte

      Pour créer des compositions de données d’alerte supplémentaires, sélectionnez + Ajouter des champs.
      Changer les valeurs de l'alerte
      1. Activez le commutateur Changer les valeurs d’alerte .
      2. Dans Champ Alerte, saisissez le champ de l’alerte pour lequel vous souhaitez mapper des valeurs.
      3. Dans le champ Valeur De , saisissez la valeur d’origine dans le champ d’alerte que vous souhaitez modifier.
      4. Dans le champ Valeur à , entrez la nouvelle valeur qui remplacera la valeur d’origine dans le champ d’alerte.

        Pour ajouter d’autres valeurs de champ, sélectionnez + Ajouter une valeur et pour ajouter d’autres champs à mapper, sélectionnez + Ajouter un champ à la carte.
      Améliorer l’identification de l’élément de configuration (CI)

      Cette option vous permet de lier un élément de configuration (CI) à une alerte, en veillant à ce que les alertes soient associées aux composants informatiques appropriés pour une meilleure visibilité et une résolution plus rapide des problèmes.

      Lorsqu’un événement entre dans le système, des champs clés tels que Nœud sont disponibles dans l’enregistrement d’événement . Si le CI est un hôte, le champ Nœud doit avoir une valeur. Les CI hôtes comprennent les ordinateurs, les systèmes d’exploitation (OS), les commutateurs, les routeurs ou tout type ou classe de CI qui étend la table [cmdb_ci_hardware], ce qui signifie qu’il doit s’agir d’un composant matériel.

      Étant donné que le champ Nœud n’existe pas dans le CI lui-même, le système compare la valeur du nœud de l’événement avec les attributs du champ Informations supplémentaires du CI hôte, telles que le nom, le nom de domaine complet (FQDN), l’adresse IP ou l’adresse MAC. Si une correspondance est trouvée, l’alerte est liée au CI correspondant.

      1. Si le CI est un hôte :
        1. Sélectionnez la classe CI pour lier ou mapper l’alerte.

          Sélectionnez Afficher les éléments pour afficher la liste des classes de CI disponibles, puis sélectionnez une classe de CI dans la liste.

        2. Assurez-vous que le champ Nœud de l’alerte est renseigné correctement pour identifier un CI hôte.

          Sélectionnez Montrez-moi comment voir où la valeur du champ Nœud apparaît.

        3. Assurez-vous qu’au moins un attribut de CI est présent dans le champ Informations supplémentaires de l’alerte.
          Remarque :
          Pour que l’identification du CI réussisse, assurez-vous que tous les attributs de CI dans les informations supplémentaires de l’alerte correspondent au format de clé et de valeur d’attribut du CI et qu’il existe exactement un CI correspondant.

          Sélectionnez Montrez-moi comment pour obtenir des instructions sur la façon de vous assurer que le champ Informations supplémentaires contient au moins un champ et une valeur qui correspondent à un attribut de CI. Pour plus de détails et un exemple, reportez-vous à la section Définir les champs d’informations supplémentaires pour correspondre au format d’attribut CI.

      2. Un CI non-hôte est un CI qui n’étend pas la table [cmdb_ci_hardware], tel qu’un service ou un ordinateur virtuel. Le système recherche un CI correspondant dans la table CMDB appropriée en fonction du type de CI sélectionné. Par exemple, si vous sélectionnez Système de fichiers comme classe CI, le système recherche un enregistrement correspondant dans la table [cmdb_ci_file_system] à l’aide des détails de l’enregistrement de règle d’événement, en particulier le champ Informations supplémentaires .

        Si le CI est un non-hôte :
        1. Sélectionnez le CI non-hôte pour lier ou mapper l’alerte.

          Sélectionnez Afficher les éléments pour afficher la liste des classes de CI disponibles, puis sélectionnez une classe de CI dans la liste.

        2. Dans la section Copier ou composer des champs , effacez le champ Nœud pour identifier un CI non-hôte.

          Sélectionnez Montrez-moi comment apprendre à effacer le champ Nœud .

        3. Assurez-vous qu’au moins un attribut de CI est présent dans le champ Informations supplémentaires de l’alerte.
          Remarque :
          Pour que l’identification du CI réussisse, assurez-vous que tous les attributs de CI dans les informations supplémentaires de l’alerte correspondent au format de clé et de valeur d’attribut du CI et qu’il existe exactement un CI correspondant.

          Sélectionnez Montrez-moi comment pour obtenir des instructions sur la façon de vous assurer que le champ Informations supplémentaires contient au moins un champ et une valeur qui correspondent à un attribut de CI. Pour plus de détails et un exemple, reportez-vous à la section Définir les champs d’informations supplémentaires pour correspondre au format d’attribut CI.

          Le système tente de faire correspondre les valeurs du champ Informations supplémentaires de l’alerte avec la table CI. Si une correspondance est trouvée, l’alerte est liée au CI correspondant.

      Pour plus d’informations sur la liaison de CI, reportez-vous à la section Liaison des alertes aux CI.
    10. Dans la section Et enfin , pour continuer à exécuter d’autres automatisations d’enrichissement avec les mêmes conditions de filtre après l’exécution de cette automatisation, sélectionnez Exécuter d’autres automatisations d’alertes d’enrichissement.
      Si vous sélectionnez Ne pas exécuter d’autres automatisations d’alertes d’enrichissement, les automatisations supplémentaires de ce type cesseront de s’exécuter une fois que cette automatisation aura été exécutée. Si l’automatisation est gérée par un administrateur, elle arrête d’exécuter les automatisations appartenant à l’administrateur, mais continue d’exécuter les automatisations appartenant à d’autres groupes d’affectation.
    11. Dans la section Détails de l’automatisation , fournissez une description de la commande et de l’automatisation.
      Enrichir la section des détails de l’automatisation
      1. Dans le champ Commande , saisissez l’ordre d’automatisation.
        Remarque :
        Les automatisations s’exécutent dans l’ordre, de la plus basse à la plus élevée. Assurez-vous qu’il n’y a pas d’automatisations d’enrichissement avec un numéro d’ordre inférieur dont les conditions correspondent et dont l’option Appliquer des automatisations supplémentaires de ce type est définie sur faux. Sinon, cela peut empêcher l’exécution des automatisations suivantes.

        Le champ L’automatisation est gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .

      2. Dans le champ Description de l’automatisation , saisissez une brève description de l’automatisation.
    12. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est sauvegardée avec succès. Sinon, un message d’erreur s’affiche. L’automatisation d’enrichissement que vous avez créée s’affiche sur la page Enrichir les alertes où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez gérer les alertes plus efficacement en regroupant des alertes similaires à l’aide de Créer une automatisation de groupe.