Agrupamento de alertas de cluster de marcador

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O agrupamento de alertas de cluster de marcadores permite criar facilmente grupos de alertas. É um método sem código de agrupamento de alertas que correlaciona alertas sem precisar usar o CMDB ou o treinamento de modelo. Essa maneira mais simples de agrupar alertas semelhantes reduz o ruído geral de uma grande quantidade de alertas.

    O agrupamento de alertas de cluster de marcador é habilitado imediatamente após a ativação da aplicação Mecanismo de cluster de alerta baseado em marcador, disponível no ServiceNow Store. Este agrupamento é aplicado de acordo com a ordem da lógica de correlação especificada em Configurar ordem da lógica de correlação de alertas. Os marcadores de agrupamento de alertas são anexados às definições em uma base de muitos para muitos (M2M). Vários marcadores podem ser vinculados a uma única definição e um marcador pode fazer parte de várias definições. Grupos formados a partir de definições de agrupamento de alertas de cluster de marcador são classificados como o tipo de grupo Cluster de marcador.

    O agrupamento de alertas de cluster de marcadores oferece suporte à separação de domínio, permitindo que diferentes domínios tenham suas próprias configurações e lógica de agrupamento de alertas distintas.

    Primeiro, crie marcadores de agrupamento de alertas para definir os critérios para agrupar alertas. Você pode definir os marcadores para exigir uma correspondência exata, uma correspondência aproximada ("difusa") ou uma correspondência de padrão de caractere.

    Você também pode usar marcadores pré-configurados para acelerar o clustering de alertas. Esses marcadores predefinidos são mapeados de alertas e são baseados em informações de fontes como o campo Alerta, Marcadores de alerta ou Informações adicionais de alerta. Se os dados necessários estiverem ausentes e a origem do marcador selecionado for IC de alerta ou chave de IC de alerta, o marcador será preenchido usando o valor de Item de configuração (IC) do Configuration Management Database (CMDB). Marcadores predefinidos são facilmente identificados por sua descrição, que inclui prontos para uso.

    Você pode anexar um ou mais marcadores a uma definição de cluster de alerta, que especifica as condições para a correlação de alertas. Você pode criar sua própria definição de cluster de alerta ou usar uma predefinida fornecida pela aplicação. As definições predefinidas vêm com marcadores associados.

    Importante:
    Certifique-se de ativar as definições predefinidas antes de usar. Em novos sistemas, várias definições estão ativas por padrão. Os restantes devem ser ativados. Para obter mais informações, consulte Ativar uma definição de cluster de alerta predefinida.

    Depois que um ou mais marcadores de cluster de alerta são anexados a uma definição, o sistema coleta alertas e verifica se os marcadores correspondem a todos os valores de marcador especificados na definição. Alertas com valores de marcador correspondentes ou semelhantes são agrupados. Novos alertas de entrada ingressarão em um grupo existente se seus marcadores corresponderem aos marcadores na definição usada para criar o grupo.

    Para o agrupamento de cluster de marcador, os alertas são adicionados a um grupo com base no intervalo de tempo definido nas configurações de cluster de alerta. O tempo entre o alerta inicial (alerta virtual) e os alertas subsequentes é avaliado. Se dois novos alertas forem recebidos e a diferença de tempo estiver dentro do intervalo de tempo definido, eles serão adicionados ao grupo. O tempo de geração do evento inicial é usado para determinar a relevância do intervalo de tempo.