Criar uma regra de correlação de alertas
Crie uma regra de correlação de alertas para especificar um alerta primário e um alerta relacionado de importância secundária.
Antes de Iniciar
Procedimento
-
No formulário, preencha os campos.
Tabela 1. Formulário Regra de correlação de alertas Campo Descrição Nome Nome descritivo da regra de correlação. Ordem A prioridade da avaliação da regra. Regras com valores de ordem inferior têm prioridade. Um alerta é verificado em relação a cada regra de ação de alerta até que uma correspondência seja encontrada. Ativo Selecione para ativar a regra. Avançado Selecione para exibir o campo de script. Esta opção permite criar o script das correlações de eventos. Descrição Descrição da regra. Alerta primário A condição do filtro para identificar o alerta que é o alerta primário, ou o alerta mais importante, em um conjunto de alertas relacionados. Este campo não é exibido quando Avançado é selecionado.
Alerta Secundário A condição do filtro para identificar o alerta relacionado ao alerta primário, no entanto, é de menor importância. Este campo não é exibido quando Avançado é selecionado.
Filtro A condição do filtro para identificar o alerta no qual o script é executado. Ofiltro está disponível somente quando Avançado está selecionado.
Os parâmetros de filtro fazem distinção entre maiúsculas e minúsculas por padrão. Para desabilitar a diferenciação de maiúsculas e minúsculas, defina o parâmetro sa_analytics.correlation_case_sensitive como falso.
Tipo de Relacionamento Especifique o tipo de relacionamento entre o alerta primário e o secundário: - Nenhum relacionamento: ignore o relacionamento ao procurar uma correspondência.
- Mesmo IC ou nó: relacione ambos os alertas com o mesmo IC. Se o campo IC estiver em branco, os alertas deverão ter o mesmo valor de Nó.
- Primário é primário: o relacionamento está na direção de primário (primário) para secundário, conforme descrito na tabela Tipos de relacionamento de IC [cmdb_rel_ci]).
- Primário é secundário: o relacionamento está na direção de secundário (primário) para primário, conforme descrito na tabela Relacionamentos de IC [cmdb_rel_ci]).
Este campo não é exibido quando Avançado é selecionado.
Diferença de tempo em minutos Os minutos entre os quais o evento primário e secundário devem ocorrer para corresponder a esta regra. O valor padrão é 60 minutos. Nota:O valor desta entrada não pode exceder 1440 minutos (um dia).Este campo não é exibido quando Avançado é selecionado.
Script Script personalizado que você pode modificar para retornar uma cadeia de caracteres JSON que especifica os alertas primários e secundários. Selecione Avançado para exibir o campo de script.
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]} for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts. You can use both multiple primary alerts and multiple secondary alerts. The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. CurrentAlert is the GlideRecord of the currentAlert on which that rule runs. The system supports only one primary per alert, so: Do not correlate more than one alert under the PRIMARY array. Do not correlate alerts that already have a primary under the SECONDARY array. The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. */ (function findCorrelatedAlerts(currentAlert){ var result = {}; //Insert your code here result = {'SECONDARY':['alertID1','alertID2','alertID3']}; return JSON.stringify(result); })(currentAlert);Relacionamento Descrição do relacionamento de IC entre primário e secundário, por exemplo, Alocado de::Alocado para ou Alocado para::Alocado de. Este campo será exibido somente se Primário for Primário ou Primário for Secundário for selecionado para o Tipo de relacionamento.
Este campo não é exibido quando Avançado é selecionado.