경보 집계

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 경보 집계 기능은 경보 데이터 분석과 경보 집계를 통해 이벤트 관리를 개선합니다. 경보 집계는 들어오는 실시간 경보를 구성하고 경보 노이즈를 줄이는 데 도움이 됩니다.

    고객에게는 노이즈가 높은 경보를 처리하고 평균 수리 시간(MTTR)이 길어지는 경우가 있습니다. 논리적으로 그룹화되지 않은 많은 경고를 중재하는 데는 많은 오버헤드가 있습니다.

    경보 집계는 경보를 관리하는 여러 방법 중 하나입니다. 경보를 집계하는 방법에는 여러 가지가 있습니다. 일부는 사용자가 정의한 논리(수동, 규칙 기반 또는 태그 클러스터) 및 사용자가 미세 조정할 수 있는 기타 최첨단 알고리즘(자동, CMDB, 텍스트 기반 및 로그 분석)을 기반으로 합니다. 규칙 기반 경보와 수동 경보에 대한 동작에는 차이가 있습니다. 주요 차이점은 그룹을 만들 때 실제 경보 중 하나가 상위 경보로 선택된다는 것입니다. 자동, CMDB, 텍스트 기반 모드에서는 실제 경보의 상위 항목인 가상 경보를 만들 수 있습니다. 가상 경보 프로토타입은 그룹에서 가장 오래되고 가장 심각한 경보입니다.

    경보 그룹은 상위 경보와 하위 경보로 구성됩니다. 상위 경보는 실제 경보(수동, 규칙 기반 및 로그 분석) 또는 가상 경보(자동, CMDB, 텍스트 기반 또는 태그 클러스터)일 수 있습니다.

    자동, CMDB텍스트 기반 그룹에서 경보를 그룹화하기 위해 일반적으로 분당 한 번 실행되는 'RCA/경보 집계를 사용하는 서비스 분석 기법 그룹 경보'라는 예약된 작업이 사용됩니다.

    다음 매개변수는 그룹화되는 경보를 정의하는 데 사용됩니다.
    • sa_analytics.aggregation_enabled 매개변수입니다. 자동, CMDB, 텍스트 기반 그룹에 대한 경보 집계 사용 설정 속성을 으로 설정하여 자동 경보 그룹 생성을 활성화합니다.
    • sa_analytics.agg.query_dynamic_window 매개변수입니다. 기본적으로 10분으로 설정됩니다. 매개변수는 그룹에 추가할 수 있는 두 경보의 마지막 이벤트 생성 시간 사이의 최대 시간 차이를 정의하며 기본값은 600초(10분)입니다.
    • sa_analytics.agg.query_max_group_lifetime 매개변수입니다. 그룹에서 첫 번째 경보의 마지막 이벤트 생성부터 마지막 경보의 마지막 이벤트 생성까지의 최대 기간입니다. 매개변수는 기본적으로 1800초(30분)로 설정됩니다.
      주:
      이벤트가 1,800초 이상 지연되어 도착한 경우 1,800초보다 큰 값으로 sa_analytics.agg.group_expiration_time 매개변수를 정의하여 경보의 마지막 이벤트 생성을 그룹에 연결할 수 있습니다.

    예를 들어 CI가 동일한 다음 경보가 있다고 가정해 보겠습니다. (모두 동일한 CMDB 그룹에 추가할 수 있습니다.)

    • Alert1: 마지막 이벤트 생성 오전 01:00:00
    • Alert2: 마지막 이벤트 생성 오전 01:11:00
    • Alert3: 마지막 이벤트 생성 오전 01:13:00
    • Alert4: 마지막 이벤트 생성 오전 01:16:00
    • Alert5: 마지막 이벤트 생성 오전 01:25:00
    • Alert6: 마지막 이벤트 생성 오전 01:34:00
    • Alert7: 마지막 이벤트 생성 오전 01:43:00

    Alert1과 Alert2는 시간 차이가 10분 이상이므로 그룹화되지 않습니다.

    Alert2 및 Alert3는 1:13:00에 그룹을 생성합니다.

    10분 동적 기간은 다음과 같이 시작됩니다.
    • Alert4는 1:16:00에 그룹으로 추가되고 10분 동적 기간이 다시 시작됩니다.
    • Alert5는 마지막 이벤트 생성 시간이 1:16:00 이후 10분 미만이므로 그룹에 추가됩니다.
    • Alert6이 그룹에 추가됩니다.
    Alert6 이후 9분 후에 도착한 Alert7은 그룹 생성 1:13:00+30 = 1:43:00 후 30분 제한이 지났으므로 sa_analytics.agg.query_max_group_lifetime 그룹에 추가되지 않습니다.
    경보 집계를 사용하여 다음을 수행합니다.
    • 경보를 집계하여 자동 경보 그룹을 만듭니다.

      타임스탬프 및 CI ID에 따라 경보의 상관관계를 지정하여 자동 경보 그룹을 만듭니다.

    • CMDB의 CI 관계에 따라 경보의 상관관계를 지정하여 CMDB 경보 그룹을 만듭니다.
    • NLP(자연어 처리)를 사용하여 경보의 텍스트 유사성을 기반으로 경보의 상관관계를 지정합니다.
    • 에 대한 패턴을 생성한 후 해당 패턴에 경보 그룹에 경보 추가 따라 자동 경보 그룹을 생성합니다.

    이벤트 관리는 서로 유사하지만 반드시 동일하지는 않은 경보를 그룹화합니다. 그룹화는 경보의 마지막 이벤트 생성 시간에 대한 근접성에 따라 이루어집니다. CI가 동일한 경보는 함께 그룹화됩니다.

    자동 경보 집계의 구성요소는 다음과 같습니다.
    • 경보 집계 학습자(서비스 분석 기법 경보 집계 학습자 - 매일) - 과거 경보를 처리하고 통계 분석을 수행하여 경보 패턴을 작성하도록 매일 실행되는 오프라인 작업입니다. 자세한 내용은 패턴 기반 경보 집계 구성 문서를 참조하십시오.
    • 실시간 경보 집계 작업(RCA/경보 집계를 사용하는 서비스 분석 기법 그룹 경보) - 1분마다 실행되며 경보 패턴, CMDB 관계 및 텍스트 유사성에 따라 경보 집계 그룹을 생성합니다.
    주:
    도메인 분리 환경에서는 동일한 도메인의 경보에 대해서만 경보 그룹이 생성됩니다.