アラート集計

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • アラート集計機能は、アラートデータ分析とアラート集計を備えた イベント管理 を拡張します。アラート集計を使用すると、リアルタイム受信アラートを整理し、アラートのノイズを減らせます。

    多くの場合、顧客は高いアラートノイズに対処し、平均修理時間 (MTTR) が長くなります。論理的にグループ化されていない多くのアラートの仲介には、多大なオーバーヘッドが伴います。

    アラート集計は、アラートを管理する多くの方法の 1 つです。アラートを集計するには、いくつかの方法があります。ユーザーが定義したロジック (手動、ルールベース、またはタグクラスター) に基づくものと、微調整が可能なその他の最先端のアルゴリズム (自動、CMDB、テキストベース、ログ分析) に基づくものがあります。ルールベースのアラートと手動アラートでは、動作に違いがあります。主な違いは、グループの作成時に、実際のアラートの 1 つが親アラートとして選択されることです。自動、CMDB、テキストベースモードでは、実際のアラートの親である仮想アラートを作成できます。仮想アラートのプロトタイプは、グループ内で最も古く、最も重大なアラートです。

    アラートグループは、親アラートと子アラートで構成されます。親アラートは、実際のアラート (手動、ルールベース、およびログ分析) または仮想アラート (自動、CMDB、テキストベース、またはタグクラスター) にすることができます。

    アラートを自動、CMDB、およびテキストベースグループにグループ化するには、通常は 1 分に 1 回実行されるスケジュール設定済みジョブ「Service Analytics group alerts using RCA/Alert Aggregation」が使用されます。

    次のパラメーターを使用して、グループ化するアラートを定義します。
    • sa_analytics.aggregation_enabled パラメーター。自動アラートグループを作成できるようにするには、[自動グループ、CMDB グループ、およびテキストベースグループのアラートの集計を有効にします] プロパティを true に設定します。
    • sa_analytics.agg.query_dynamic_window パラメーター。デフォルトでは 10 分に設定されています。このパラメーターは、グループに追加できる 2 つのアラートの前回のイベント生成時刻間の最大時間差を定義します。デフォルト値は 600 秒 (10 分) です。
    • sa_analytics.agg.query_max_group_lifetime パラメーター。最初のアラートの最後のイベント生成から、グループ内の最後のアラートの最後のイベント生成までの最大期間。このパラメーターは、デフォルトで 1800 秒 (30 分) に設定されています。
      注:
      イベントが 1800 秒を超える遅延で到着した場合は、 sa_analytics.agg.group_expiration_time パラメーターに 1800 秒を超える値を定義することによって、アラートの最後のイベント生成をグループに関連付けることができます。

    例:同じ CI を持つ次のアラートがあるとします。(すべてを同じ CMDB グループに追加できます)。

    • アラート 1: 最後のイベント生成 01:00:00 AM
    • アラート 2:最後のイベント生成 01:11:00 AM
    • アラート 3: 最後のイベント生成 01:13:00 AM
    • アラート 4: 最後のイベント生成 01:16:00 AM
    • アラート 5: 最後のイベント生成 01:25:00 AM
    • アラート 6: 最後のイベント生成 01:34:00 AM
    • アラート 7: 最後のイベント生成 01:43:00 AM

    アラート 1 とアラート 2 の時間差は 10 分を超えているため、グループ化されません。

    アラート 2 とアラート 3 は、1:13:00 にグループを作成します。

    10 分間の動的ウィンドウは次のように始まります。
    • アラート 4 が 1:16:00 にグループに追加され、10 分間の動的ウィンドウが再開されます。
    • アラート 5 は、最後のイベント生成時刻が 1:16:00 から 10 分以内であるため、グループに追加されます。
    • アラート 6 はグループに追加されます。
    アラート 6 の 9 分後に到着したアラート 7 は、グループ作成の 1:13:00 + 30 = 1:43:00 の後に 30 分の制限が経過したため sa_analytics.agg.query_max_group_lifetime 、グループに追加されません。
    アラート集計を使用して、次を実行します。
    • アラートを集計して、自動化アラートグループを作成します。

      タイムスタンプと CI ID に従ってアラートを関連付け、自動アラートグループを作成します。

    • CMDB 内の CI の関係性に基づいてアラートを関連付け、CMDB アラートグループを作成します。
    • NLP (自然言語処理) を使用して、アラートのテキストの類似性に基づいてアラートを関連付けます。
    • アラートグループへのアラートの追加 パターンを生成し、そのパターンに従って自動アラートグループを作成します。

    イベント管理 では、類似しているが必ずしも同じではないアラートをグループ化します。またグループ化は、アラートの最後のイベント生成時刻の近接度に基づきます。同じ CI を含むアラートがグループ化されます。

    自動アラート集計には、次のコンポーネントがあります。
    • アラート集計学習 (サービス分析でのアラート集計学習 - 日次):過去のアラートを処理するために毎日実行されるオフラインジョブであり、統計分析を実行してアラートのパターンを構築します。詳細については、「パターンベースのアラート集計の構成」を参照してください。
    • リアルタイムアラート集計ジョブ (サービス分析での RCA/アラート集計を使用したグループアラート) - 毎分実行され、アラートパターン、CMDB 関係、およびテキストの類似性に基づいてアラート集計グループを生成します。
    注:
    ドメイン分離された環境では、同じドメイン内のアラートに対してのみアラートグループが作成されます。