Regras de correlação de alertas

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • As regras de correlação de alerta permitem classificar manualmente os alertas em primários e secundários e estabelecer um relacionamento entre eles. Use regras de correlação de alertas para agrupar alertas relacionados.

    Por exemplo, se um servidor em sua organização ficar off-line, você não precisará ver alertas adicionais que mostram que as máquinas virtuais ou as aplicações em execução no servidor também estão inativas. Em vez disso, esses alertas adicionais, ou alertas secundários, são agrupados no alerta raiz chamado de alerta primário. Você pode ver esses alertas agrupados na lista expressa.

    Alertas primários e secundários

    • Um alerta primário identifica a causa raiz de um evento.
    • Um alerta secundário é outro alerta que o mesmo evento gera, mas é considerado menos importante do que o alerta primário.
    A finalidade de especificar alertas secundários é identificar quais alertas suprimir, para que você possa reduzir a quantidade de ruído de alerta e se concentrar no alerta primário. Você pode ver os dois tipos de alertas, mas os alertas secundários são agrupados no alerta primário até que o alerta primário seja fechado e eles se tornem alertas fechados autônomos. Você pode ver esses grupos na lista de alertas em Espaço de operações de serviços.

    Ao trabalhar com alertas, por padrão, os alertas secundários são encerrados depois que um alerta primário é encerrado em grupos baseados em regras quando a propriedade evt_mgmt.rule_based_manual_closure está definida como no. Esta propriedade pode ser acessada na página Propriedades Gestão de eventos (Event Management > Configurações > Propriedades). Depois que a propriedade é definida como sim e o alerta primário é encerrado, a referência primária é removida dos alertas secundários e eles se tornam alertas abertos autônomos.

    Como funcionam as regras de gestão de alertas primários e secundários

    As regras de gerenciamento de alertas primários e secundários são simplesmente filtros que especificam quais tipos de alertas são classificados como primários e quais são classificados como secundários. Os critérios de filtro são executados na tabela Alerta [em_alert].

    Somente um nível de alertas secundários é permitido em um alerta primário. Por exemplo, se o alerta secundário A for agrupado no alerta secundário B, ambos os alertas se tornarão alertas secundários no mesmo alerta primário. Consulte Hierarquia de alertas para obter mais informações.

    Relacionamentos de alerta

    As regras de correlação de alerta permitem que você especifique o tipo de relacionamento que os alertas primários e secundários devem ter para que a regra corresponda. Esses relacionamentos dependem dos relacionamentos entre os ICs no CMDB:
    • Nenhum relacionamento: ignore o relacionamento ao procurar uma correspondência.
    • Mesmo IC ou nó: relacione ambos os alertas com o mesmo IC. Se o campo IC estiver em branco, os alertas deverão ter o mesmo valor de Nó.
    • Primário é primário: o relacionamento está na direção de primário (primário) para secundário, conforme descrito na tabela Tipos de relacionamento de IC [cmdb_rel_ci]).
    • Primário é secundário: o relacionamento está na direção de secundário (primário) para primário, conforme descrito na tabela Relacionamentos de IC [cmdb_rel_ci]).

    Quando as regras de correlação são executadas

    As regras de correlação de alerta são executadas quando um alerta é criado ou reaberto. O alerta é verificado para determinar se ele corresponde a ser primário ou secundário.

    Quando a severidade do alerta primário é alterada para Encerrado, os alertas secundários também são definidos como Encerrado, a menos que façam parte de outros grupos em que o alerta primário ainda não esteja definido como Encerrado.

    Hierarquia de alertas

    Somente um nível de alertas secundários é permitido. Em situações em que um alerta secundário tem seu próprio alerta secundário, a aplicação Event Management nivela a hierarquia para preservar apenas dois níveis.

    Por exemplo, suponha que o alerta A seja o alerta primário e o alerta B seja o alerta secundário. Se o alerta C se tornar um alerta secundário para o alerta B, o aplicativo nivelará a hierarquia para que A permaneça o primário e B e C se tornem alertas secundários irmãos, um nível abaixo de A.

    Como outro exemplo, suponha que haja três regras de correlação que produzam os seguintes resultados:
    • Regra 1 (com um valor de Ordem de 1): B se torna um alerta primário para A.
    • Regra 2 (com um valor de Ordem de 2): A se torna um alerta primário para C e D.
    • Regra 3 (com um valor de Ordem de 3): E se torna um alerta primário para A.

    Quando os alertas B, C, D e E são acionados, todos eles aparecem na lista de alertas separadamente porque não há correlações entre eles.

    Quando o alerta A é acionado:
    1. A regra 1 torna A um alerta secundário sob o alerta B.
    2. A regra 2 torna os alertas secundários C e D no alerta A.
    3. A regra 3 torna A um alerta secundário em E, fornecendo ao alerta A dois alertas primários acima dele na hierarquia.

    Portanto, se todos os alertas forem acionados, somente B e E serão exibidos na lista de alertas, indicados como alertas primários.

    Nota:
    Um alerta secundário pode ser correlacionado a mais de um alerta primário e vice-versa.