パターンベースのアラート集計の構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • アラート集計学習 (サービス分析でのアラート集計学習 - 日次) を構成します。これは過去のアラートを処理するために毎日実行されるオフラインジョブです。アラート集計学習では、パターンベースの手法と確率的な手法の両方を組み合わせて、関連するアラートのパターンを特定します。

    始める前に

    必要なロール:evt_mgmt_admin

    このタスクについて

    • アラート集計学習では、自動アラートグループのアラートの手動による追加と削除を追跡します。その後、同様の時間相関を持つ同じタイプのアラートが発生したときに、この形式のフィードバックが適用されます。アラート集計では、以前に手動で実行した追加または削除アクションが自動的に繰り返されます。そうしたアラートグループで以前に行われたアラートの追加または削除を元に戻すと、それに応じて自動プロセスが調整されます。

      自動アラートグループでのユーザーによるアラートの追加と削除を確認し、アラート集計によって自動的に繰り返されないように、任意のアクションを元に戻せます。

    • また、アラート集計学習では、手動アラートグループ内のアラートのパターンも学習します。後から、新しいアラートストリームが到着すると、アラート集計により、こうしたパターンに従って自動アラートグループが自動的に形成されます。

    手順

    1. 移動先 すべて > イベント管理 > 管理 > アラート相関プロパティ.
    2. 以下のプロパティを有効にします。
      • 自動グループ、CMDB グループ、およびテキストベースグループのアラートの集計を有効にする (sa_analytics.aggregation_enabled)。
        注:
        無効にすると、他のすべてのグループが無効になります。
      • CI ベースの自動グループのアラートの集計を有効にする (sa_analytics.specific_patterns_enabled)。
      • CI クラスベースの自動グループのアラートの集計を有効にする (sa_analytics.generalized_patterns_enabled)。CI クラスによるアラート集計の有効化は、ドメイン分離インスタンスではサポートされていません。
      • アラートの集計でアラートをグループ化するために使用される CMDB プロパティ (CI ベースのグループ化の場合のみ) (sa_analytics.agg.learner_group_by_property)。
        注:
        • このプロパティを設定するときは、列ラベル (この例では Location) ではなく、CI CMDB テーブルの列名 (location など) を使用していることを確認してください。
        • CMDB フィールドに一意性の強い値 (namesys_idなど) が含まれていないことを確認します。含まれている場合は、グループ内に作成されたアラートの数が制限され、ジョブでパターンを作成できなくなります。
    3. オプション: 移動先 すべて > システムプロパティ > すべてのプロパティ.
    4. オプション: [システムのプロパティ] ページで、sa_analytics.agg.learner_period_days プロパティを選択します。
      プロパティが存在しない場合は、定義する必要があります。
    5. オプション: プロパティの [値] を、アラート集計学習ジョブを処理する日数に設定します。
      値が 30 日を超えると、ジョブの処理時間が長くなります。最高のパフォーマンスを得るには、30 日以下の値を使用してください。