自動アラートグループ

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • イベント管理 アラート集計では、履歴アラートデータに基づいてアラートを自動アラートグループに集計します。自動アラート グループは、 サービスオペレーションワークスペースの Express リストに表示されます。

    自動アラートグループを作成できるようにするには、[自動グループ、CMDB グループ、およびテキストベースグループのアラートの集計を有効にします] (sa_analytics.aggregation_enabled) プロパティを true に設定します。

    Domain Support - Domain Extensions Installer が有効になっている場合、アラート集計パターンは、sa_analytics. learner_domain_level プロパティで指定されたドメインレベルでに従って構築されます。デフォルトでは、このドメインレベルは 2 (ドメイン階層の第 2 ドメインレベル) に設定されています。「ドメイン分離と イベント管理」を参照してください。

    自動アラートグループを作成するために、集計アルゴリズムは、同じアラート識別子 (CI と測定基準識別子) の履歴アラートに依存しており、同じ期間に複数回実行されます。

    パターン識別子について

    デフォルトのパターン識別子は [測定基準名] として定義されます。[パターン識別子を管理] フォームでは、パターン識別子に現在使用されているアラートフィールドを確認できます。展開する別のアラートフィールドのセットを選択するか、パターン識別子の新しいフィールドのセットを定義することができます。
    注:
    パターン識別子に使用されるアラートフィールドのセットは、機能識別子属性とも呼ばれます (または単に属性)。
    パターン識別子の指定されたアラートフィールドが有効であることを確認するには、十分な数のアラートにそれぞれ設定されたフィールドがある必要があります。したがって、パターン識別子のアラートフィールドの新しいセットを指定する場合は、次の手順に従って確実に有意な分析になるようにします。
    • それぞれのアラートフィールドを設定するイベントルールを作成します。
    • 既存の多数のアラートにパターン識別子で使用される新しいアラートフィールドのセットの値がない場合は、適切なイベントルールを使用して履歴アラートからアラートフィールドを設定する「Service Analytics Attribute Populator for Historical Alerts」ジョブを必ず実行します。CMDB CI から生成されたドット連結のプロパティは、設定されません。
    • 次のようにして有効な識別子を選択します。
      • パターンを識別できないため、パターン識別子のアラートフィールドのセットが過度に一意でないことを確認します (日付フィールドがすべてのアラートに対して一意であるなど)。
      • すべてが同じグループに含まれることにより、異なるグループを作成できないため、パターン識別子のアラートフィールドのセットが過度に一般的でないことを確認します。

    アラートフィールドのセットに基づいてアラートパターンが検出された場合、アラートは互いに関連していると見なされ、学習したパターンにグループ化されます。たとえば、 優先度グループリソースが同じアラートに基づくパターンを作成するように識別子属性を設定した場合、アラートのグループがそれらの属性に一致すると、 学習したパターン レポート (イベント管理 > 管理 > 学習したパターン).

    一度に 1 つのパターン識別子属性のみをアクティブにすることができます。新しいパターン識別子属性セットは、展開するまで自動的に実装されません。新しい属性セットを展開すると、有効になっている現在の属性セットが非アクティブになります。後続のクエリでは、アクティブなパターン識別子属性を使用して、アラート集計を実行します。

    このパターンベースのアラート集計の主な目的は、過去 30 日間に発生した問題のパターンを見つけることです。日数は、sa_analytics.agg.learner_period_days パラメーターによって制御されます。問題を特定するために、システムは構成アイテム (CI) とパターン識別子 (機能識別子とも呼ばれる) の組み合わせを使用します。デフォルトでは、パターン識別子は [測定基準名] として定義されますが、変更することもできます。2 つのアラートは、CI とパターン識別子が同じである場合、類似しています。ただし、[ソース]、[重大度]、[説明]、およびその他のアラートフィールドは異なる場合があります。詳しくは、「アラート集計のパターン識別子属性の指定および管理」を参照してください。
    注:
    また、アラート集計学習では、手動アラートグループ内のアラートのパターンも学習します。

    場合によっては、選択したフィールドで CI の値が同じであるアラートからパターンを構築できます。たとえば、[CI の場所] フィールドが同じであるアラートからパターンを構築するには、sa_analytics.agg.learner_group_by_property プロパティに「location」と入力します。詳細については、「アラート集計の構成」を参照してください。

    CI を含まないアラートは、テキストベースまたはパターンベースのアラートグループとしてグループ化できます。この場合、ノードは CI と見なされます。この機能を有効にするには、sa_analytics.enable_no_ci_grouping プロパティを [true] に設定します。CI ベースのグループで作業する場合は、[機能識別子] に [ノード] と [測定基準名] の両方が含まれていることを確認します。機能識別子の設定の詳細については、「学習したパターンレポート」を参照してください。