경보 상관관계 규칙 만들기

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 경보 상관관계 규칙을 만들어 기본 경보와 두 번째로 중요한 관련 경보를 지정합니다.

    시작하기 전에

    필요한 역할: evt_mgmt_admin

    프로시저

    1. 다음으로 이동 모두 > 이벤트 관리 > 규칙 > 경보 상관 관계 규칙.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 경보 상관관계 규칙 양식
      필드 설명
      이름 상관관계 규칙을 설명하는 이름입니다.
      순서 규칙 평가 우선순위입니다. 이 값이 낮은 규칙이 더 높은 우선순위를 갖습니다. 일치하는 값을 찾을 때까지 경보를 모든 경보 작업 규칙과 비교 검사합니다.
      활성 선택하면 규칙이 활성화됩니다.
      고급 선택하면 스크립트 필드가 표시됩니다. 이 옵션을 사용하면 이벤트 상관관계를 스크립팅할 수 있습니다.
      설명 규칙에 대한 설명입니다.
      기본 경보 관련 경보 집합에서 기본 경보 또는 가장 중요한 경보를 식별하기 위한 필터 조건입니다.

      고급을 선택하면 이 필드가 나타나지 않습니다.
      보조 경보 기본 경보와 관련이 있지만 중요도가 낮은 경보를 식별하기 위한 필터 조건입니다.

      고급을 선택하면 이 필드가 나타나지 않습니다.
      필터 스크립트가 실행되는 경보를 식별하는 필터 조건입니다.

      필터고급을 선택한 경우에만 사용할 수 있습니다.

      필터 매개변수는 기본적으로 대소문자를 구분합니다. 대소문자 구분을 사용하지 않도록 설정하려면 sa_analytics.correlation_case_sensitive 매개변수를 false로 설정합니다.
      관계 유형 기본 경보와 보조 경보 간의 관계 유형을 지정합니다.
      • 관계 없음: 일치하는 항목을 찾을 때 관계를 무시합니다.
      • 동일한 CI 또는 노드: 두 경보를 동일한 CI와 연관시킵니다. CI 필드가 비어 있으면 경보의 노드 값이 같아야 합니다.
      • 기본이 상위입니다.: CI 관계 유형 테이블 [cmdb_rel_ci]에 설명된 것처럼 상위(기본)에서 하위 방향으로 관계가 형성됩니다.
      • 기본이 하위입니다.: CI 관계 테이블 [cmdb_rel_ci]에 설명된 것처럼 하위(기본)에서 상위 방향으로 관계가 형성됩니다.

      고급을 선택하면 이 필드가 나타나지 않습니다.
      시간 차이(분) 이 규칙과 일치하려면 주 이벤트와 보조 이벤트가 이 시간(분) 간격 사이에서 발생해야 합니다. 기본값은 60분입니다.
      주:
      이 항목의 값은 1440분(1일)을 초과할 수 없습니다.

      고급을 선택하면 이 필드가 나타나지 않습니다.
      스크립트 기본 및 보조 경보를 지정하는 JSON 문자열을 반환하기 위해 수정할 수 있는 사용자 지정 스크립트입니다.

      고급을 선택하면 스크립트 필드가 표시됩니다.

      
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
      관계 기본 경보와 보조 경보 사이의 CI 관계에 대한 설명입니다(예: Allocated from::Allocated to 또는 Allocated to::Allocated from).

      이 필드는 관계 유형으로 기본이 상위입니다. 또는 기본이 하위입니다.를 선택해야만 표시됩니다.

      관계

      고급을 선택하면 이 필드가 나타나지 않습니다.
    4. 제출을 클릭합니다.

    결과

    경보 그룹은 새 경보가 생성되거나 경보의 상태가 종결 또는 플래핑에서 오픈 또는 재오픈으로 변경되고 필터가 일치할 때 만들어집니다.