Regras de gestão de alertas para resolver alertas

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Você pode configurar Gestão de eventos para responder a alertas automaticamente. Uma regra de gestão de alertas determina a resposta de alerta necessária, como abrir um incidente, um artigo da base de conhecimento, abrir uma tarefa, iniciar uma ação de correção.

    Regras de gestão de alertas fornecidas com o sistema base como um aplicativo da loja (Alert Rules Management [sn_em_arm]) para ajudá-lo a responder a alertas. Você pode criar filtros para especificar condições para a regra para que a ação corretiva especificada na regra tenha efeito somente quando as condições forem atendidas. Por exemplo, inicie o subfluxo necessário ou abra um incidente com base em um alerta. O histórico de execução do alerta é atualizado automaticamente para indicar as ações que foram invocadas.

    Usuários com a função evt_mgmt_admin podem usar o designer de regra de gerenciamento de alertas para criar e personalizar regras de gerenciamento de alertas para agir em alertas especificados. Defina regras com filtros para determinar a quais alertas a regra se aplica. Você pode criar regras para iniciar aplicações, URLs, subfluxos, ações de correção ou realizar outras ações, como abrir um incidente. Para obter mais informações, consulte Criar uma regra de gestão de alertas.

    Usuários com a função evt_mgmt_operator podem executar manualmente as regras de gerenciamento de alertas.

    Fluxo de regra de gestão de alertas

    O fluxo para criar e executar uma regra de gestão de alertas é:

    Fluxo de trabalho de gestão de alertas

    Tabela 1. Componentes da regra de gestão de alertas
    Componente Descrição
    Informações do alerta Configure um nome e informações gerais para a regra.
    Filtro de alerta Especifique um filtro para determinar a quais alertas a regra se aplica. Você pode especificar as condições da lista relacionada.
    Ações Especifique a resposta ao alerta, como executar um subfluxo, executar uma ação de correção, iniciar uma aplicação ou iniciar um URL em um navegador.

    Como as regras são aplicadas a alertas atualizados

    As regras de gestão de alertas são executadas em todos os alertas abertos atualizados. As regras não são executadas em alertas encerrados, mesmo que eles tenham sido atualizados. Os filtros determinam se as ações da regra se aplicam ao alerta. Por exemplo, se a condição de uma regra indicar que uma mensagem de e-mail será enviada quando a severidade do alerta mudar para Importante, a regra se aplicará a um alerta atualizado por uma mudança de severidade de Aviso para Importante.

    Uso de filtros e outras ações

    Os filtros garantem que a regra seja invocada somente quando a condição configurada ocorrer e não para cada atualização do alerta. Por exemplo, você pode configurar uma regra para que as atualizações que não sejam relevantes (como uma atualização de campo de Anotações de trabalho ) não façam com que a regra seja executada. Como outro exemplo, uma condição de filtro pode especificar que a regra de gestão de alertas seja executada somente quando a severidade do alerta for crítica.

    Você pode executar as seguintes ações:

    • Especifique um filtro que determina a quais alertas a regra se aplica.
    • Na seção Condições da lista relacionada do formulário, configure condições adicionais, por exemplo, com um relacionamento Alert > Parent, para filtrar todos os alertas que foram recebidos hoje.
    • Responder a alertas. Por exemplo, usando subfluxos e fluxos de trabalho, crie incidentes para alertas primários com severidade crítica ou abra um mecanismo de pesquisa em um navegador para pesquisar dados de acordo com o campo de descrição do alerta.
    • Aplicar correção. A correção é baseada em fluxos de trabalho do Orchestration que podem ser programados para executar tarefas de correção, como coletar informações do sistema ou reinicializar um servidor.
      Nota:
      Para melhorar o desempenho de Event Management - Evaluate Scoped Alert Rules Management trabalhos programados, use subfluxos em vez de fluxos de trabalho.

    Trabalhos programados que verificam as regras de gestão de alertas

    As regras de gestão de alertas são verificadas a cada 11 segundos pelo trabalho programado padrão Event Management - Evaluate Scoped Alert Rules Management0. O trabalho executa as ações necessárias. Para ambientes de grande escala, você pode adicionar mais de um trabalho. Entre em contato com Suporte e atendimento ao cliente.
    Nota:
    Somente novos usuários de Vancouver e acima obtêm dois trabalhos programados: Event Management - Evaluate Scoped Alert Rules Management0 e Event Management - Evaluate Scoped Alert Rules Management1. Os usuários que atualizam de versões anteriores da família permanecem com um único trabalho programado Event Management - Evaluate Scoped Alert Rules Management0.

    Não modifique a propriedade sn_em_arm.alert_management.num_of_jobs.

    Por padrão, o trabalho de agrupamento de alertas (Alertas de grupo de Análise de serviço usando RCA/Agregação de alertas) e os trabalhos de gerenciamento de alertas (Gestão de eventos - Avaliar gestão de regras de alerta com escopo0) são executados independentemente um do outro. Para obter mais informações sobre como coordenar a resposta do alerta e o agrupamento de alertas automatizado, consulte Sincronizando a resposta do alerta com o agrupamento de alertas automatizado.

    Migrar regras de ação de alerta existentes

    As regras de ação de alerta existentes de uma versão anterior podem ser migradas para se tornarem regras de gerenciamento de alertas. Você pode modificar uma regra de ação de alerta somente após migrá-la para uma regra de gerenciamento de alertas. Para obter mais informações, consulte Migração de uma regra de ação de alerta para uma regra de gestão de alertas.