アラート相関ルールの作成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • アラート相関ルールを作成して、プライマリアラートと、二次的な重要度を示す関連アラートを指定します。

    始める前に

    必要なロール:evt_mgmt_admin

    手順

    1. 移動先 すべて > イベント管理 > ルール > アラート相関ルール.
    2. [新規] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. アラート相関ルールフォーム
      フィールド 説明
      名前 相関ルールのわかりやすい名前。
      順序 ルール評価の優先度。順番の値が低いルールには優先度が指定されています。一致が見つかるまで、すべてのアラートアクションルールに対してアラートがチェックされます。
      有効 ルールを有効にする場合に選択します。
      詳細 スクリプトフィールドを表示する場合に選択します。このオプションを使用すると、イベントの相関をスクリプト化できるようになります。
      説明 ルールの説明。
      プライマリアラート 一連の関連アラートにおいて、プライマリアラート (最も重要なアラート) であるアラートを特定するためのフィルター条件。

      [詳細] が選択されている場合、このフィールドは表示されません。
      セカンダリアラート プライマリアラートに関連しているけれども重要度が低いアラートを特定するためのフィルター条件。

      [詳細] が選択されている場合、このフィールドは表示されません。
      フィルター スクリプトが実行されるアラートを特定するためのフィルター条件。

      [フィルター]は、[詳細] が選択されている場合にのみ使用できます。

      フィルターパラメーターは、デフォルトで大文字と小文字を区別します。大文字と小文字の区別を無効にするには、sa_analytics.correlation_case_sensitive パラメーターを [false] に設定します。
      関係性タイプ プライマリアラートとセカンダリアラートの関係性のタイプを指定します。
      • 関係性なし:一致を検索するときに関係性を無視します。
      • 同じ CI またはノード:同じ CI に両方のアラートを関連付けます。[CI] フィールドが空白の場合、アラートは同じノード値である必要があります。
      • プライマリは親:関係性は、CI 関係性タイプテーブル [cmdb_rel_ci] で説明されているように、親 (プライマリ) から子への方向になります。
      • プライマリは子:関係性は、CI 関係性テーブル [cmdb_rel_ci] で説明されているように、子 (プライマリ) から親への方向になります。

      [詳細] が選択されている場合、このフィールドは表示されません。
      時間差 (分) このルールを照合するためのプライマリイベントとセカンダリイベントの発生間隔 (分)。デフォルト値は 60 分です。
      注:
      このエントリーの値は 1440 分 (1 日) を超えることはできません。

      [詳細] が選択されている場合、このフィールドは表示されません。
      スクリプト プライマリアラートとセカンダリアラートを指定する JSON 文字列を返すように変更できるカスタムスクリプト。

      [スクリプト] フィールドを表示するには、[詳細] を選択します。

      
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
      関係 プライマリとセカンダリ間の CI 関係性の説明。たとえば、Allocated from::Allocated to または Allocated to::Allocated from

      このフィールドは、[プライマリは親] または [プライマリは子] のいずれかが [関係性タイプ] で選択されている場合にのみ表示されます。

      関係性

      [詳細] が選択されている場合、このフィールドは表示されません。
    4. [送信] をクリックします。

    タスクの結果

    アラートグループは、新しいアラートが生成された場合、またはアラートのステータスが「クローズ済み」または「フラッピング」から「オープン」または「再オープン」に変わり、フィルター条件に一致した場合に作成されます。