Criar automação de grupo

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura

    • A automação de agrupamento ajuda a gerenciar alertas com mais eficiência, coletando alertas semelhantes. Isso facilita a visualização de padrões, a identificação rápida de problemas e a resposta eficiente. Ao organizar os alertas dessa forma, você pode reduzir o ruído do alerta, identificar as causas raízes e atribuí-las às equipes apropriadas.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin ou srm_responder

    Por Que e Quando Desempenhar Esta Tarefa

    O agrupamento deste método é mais útil quando os alertas compartilham dados ou marcadores comuns, como um nó ou local. Você pode usar campos ou marcadores preenchidos por meio de uma automação de aprimoramento. É a melhor maneira de agrupar alertas quando o CMDB ou os mapas de serviço são imaturos. Isso complementa nossos outros algoritmos de agrupamento, incluindo regras de correlação de alertas, CMDB, ML e agrupamento baseado em texto. Os alertas são agrupados com a primeira correspondência e você pode controlar a ordem de prioridade desses algoritmos por meio da propriedade do sistema. Para obter informações sobre a ordem da lógica de correlação, consulte Configurar ordem da lógica de correlação de alertas.

    A automação de alertas também fornece um recurso de simulação que permite testar quantos grupos de alertas seriam formados, quantos permanecem desagrupados e a taxa de compactação. Uma taxa de compactação mais alta significa que sua equipe será mais produtiva e poderá identificar as causas raiz com mais rapidez. No entanto, considere se os grupos são precisos, operacionalmente corretos e atribuídos às equipes certas. Você pode ajustar os critérios do grupo até ficar satisfeito com os grupos resultantes.

    Para usuários familiarizados com a experiência clássica Gestão de eventos, este recurso oferece uma interface mais fácil com suporte aprimorado à equipe para criar definições de cluster de alerta baseadas em marcador.

    Procedimento

    1. Navegar até Espaços > Espaço de operações de serviços.
    2. Na navegação primária, selecione o ícone de automação de alertas ( ícone de automação de alertas).
    3. Na página Automação de alertas, em Tipos de automação, selecione Grupo.
      A página Alertas de grupo é exibida.
      A página Alertas de grupo é aberta.
    4. Selecione Criar automação.
      A página Alertas de grupo é aberta.
    5. No campo Nome da automação, insira o nome da automação para agrupar alertas.
    6. Ative a automação marcando a caixa de seleção Ativo.
    7. Na seção Se essas condições forem atendidas, configure os critérios de filtro para identificar os alertas que você deseja agrupar.
      Condições de alertas de grupo.
      1. No menu do campo Grupo de atribuição, selecione o grupo de atribuição para determinar quais alertas da equipe acionarão a automação.

        O grupo de atribuição representa uma equipe específica responsável por lidar com determinados alertas. Ao selecionar um grupo de atribuição, você garante que somente os alertas atribuídos a essa equipe específica acionarão a automação. Dessa forma, a automação é direcionada e só é ativada para alertas relevantes associados à equipe selecionada.

        Nota:
        • Se você estiver conectado à instância com uma função de administrador (evt_mgmt_admin), todos os grupos de atribuição estarão disponíveis. Além disso, você pode selecionar Todos os grupos para habilitar a geração de alertas para qualquer um dos grupos disponíveis.
        • Se você for um operador, somente o grupo do qual você faz parte estará disponível.
        • Somente membros do grupo selecionado ou administradores podem atualizar ou excluir a automação.
      2. Configure as condições selecionando o campo, o operador e o valor do campo. Em seguida, adicione mais condições usando os operadores OR ou AND. Você deve adicionar pelo menos mais um filtro além do grupo de atribuição.
        Dica:
        Selecione um filtro mais específico para melhorar o desempenho.

        Para adicionar outro conjunto de condições, selecione + Novo conjunto de condições. Você também pode adicionar manualmente um campo de informações adicionais se não o vir na lista suspensa.

    8. Na seção Em seguida, agrupe alertas pelos seguintes critérios, execute as etapas a seguir.
      Critérios de agrupamento de alertas
      1. No campo Intervalo de tempo de agrupamento, especifique a duração (em minutos) em que os alertas devem ser coletados e agrupados.
      2. No menu do campo Origem, selecione a origem da qual você deseja que os alertas sejam agrupados.
        Nota:
        Você pode adicionar manualmente um nome de campo e selecionar o tipo do campo. As opções disponíveis incluem campo de informações adicionais, marcador de alerta e marcador de IC. Essa flexibilidade permite que você personalize as informações que estão sendo capturadas de acordo com suas necessidades específicas.
      3. No campo Método de correspondência para agrupamento, selecione uma das seguintes opções: alertas de grupo com base em uma correspondência exata, correspondência difusa ou correspondência de padrão.

        Quando você seleciona um valor para o método de correspondência difusa no campo de agrupamento, o campo Limite de semelhança (porcentagem) se torna visível. Os alertas são agrupados quando sua semelhança é maior ou igual à porcentagem especificada com base na distância de edição.

        Por exemplo, se você tiver alertas dos EUA, CA e EUA, NY, e quiser agrupar os alertas por país, defina o campo Origem como EUA. Se o Método de correspondência para agrupamento for uma correspondência difusa e o limite de semelhança (percentual) for 50%, os alertas serão agrupados se tiverem pelo menos 50% de semelhança, o que significa que eles compartilham o país "EUA" como um atributo comum.

      4. Quando você seleciona um valor para o método de correspondência de padrão no campo de agrupamento, o campo de correspondência de padrão se torna visível. Os alertas são agrupados quando o padrão especificado corresponde. Para obter mais informações, consulte Pattern matching.

        Use asteriscos (*) na cadeia de caracteres de pesquisa para corresponder a qualquer número de caracteres ou um ponto de interrogação (?) para corresponder a qualquer caractere único. Todo o restante na cadeia de caracteres de pesquisa corresponde a si mesmo. Por exemplo, use "Erro de HTTP 5??" para corresponder a todos os erros HTTP 500.

        Para incluir campos adicionais para agrupamento, selecione + Adicionar critérios.

    9. Na seção Detalhes da automação, forneça uma descrição do pedido e da automação.
      Detalhes da automação do agrupamento de alertas
      1. No campo Ordem, insira a ordem de automação.
        Nota:
        Os alertas são agrupados com base na primeira correspondência, executados em ordem, do número mais baixo para o mais alto. O campo Automação é gerenciada por exibe a equipe ou o grupo de atribuição que possui, edita e pode excluir esta automação. O grupo de atribuição é o mesmo definido na seção Se essas condições forem atendidas.
      2. No campo Descrição da automação, insira uma breve descrição da automação.
    10. Para testar se o agrupamento de alertas está funcionando corretamente, navegue até Testar esta automação em alertas anteriores, selecione o intervalo de tempo da simulação na lista suspensa, selecione se deseja considerar outros tipos de agrupamento e selecione Testar automação.
      Nota:
      No menu Considerar outros tipos de grupo, você pode selecionar Somente esta automação ou Considerar outros tipos de grupo. Selecionar Esta automação apenas ignora outros tipos de grupo de alertas, enquanto a escolha Considerar outros tipos de grupo inclui todas as automações de agrupamento de alertas, como baseado em tag, automatizado, baseado em texto e agrupamento de alertas baseado em CMDB.

      Durante a simulação, ele mostra os alertas agrupados e os alertas não agrupados para o intervalo de tempo especificado. Se houver alertas agrupados, você verá o número de alertas agrupados. Você pode selecionar este número para exibir os alertas agrupados. Além disso, a seleção de um alerta individual exibe os detalhes desse alerta específico. Você também pode modificar quaisquer condições de agrupamento de alertas ou valores de campos e iniciar o processo novamente selecionando Reexecutar teste.

      Seção de automação de teste

      O cabeçalho da seção Automação de teste também exibe o seguinte: alertas correspondentes, grupos de alertas, alertas desagrupados e compactação.
      • Alertas correspondentes: o número total de alertas correspondentes antes do agrupamento que correspondem às condições definidas para esta automação.
      • Grupos de alertas: o número de grupos que contêm mais de um alerta que corresponde às condições de automação. O número menor entre parênteses representa o número de grupos criados por esta automação.
      • Não agrupado: o número de alertas correspondentes às condições de automação que permanecem não agrupados.
      • Compactação: a redução percentual no número total de alertas alcançada pelo agrupamento, calculada como 1 - (Grupos de alertas + Não agrupados) / Total de alertas. Você pode melhorar a taxa de compactação agrupando seus alertas em problemas relacionados. O número menor entre parênteses indica a porcentagem de alertas correspondentes compactados por esta automação.

      A seção Automação de teste exibe três colunas de chave: Descrição, Tipoe Tempo. A coluna Descrição descreve os detalhes do grupo de alertas. Antes da coluna Descrição, um número indica o total de alertas contidos nesse grupo. O tipo especifica a categoria de agrupamento, como Esta automação de agrupamento, Outra automação de agrupamento, Grupo do CMDB ou Alerta único, entre outros. Selecionar Outra automação de agrupamento direciona você para a página de automação correspondente que gerou o grupo. Além disso, a coluna Tempo mostra quando o teste foi realizado.

      Importante:
      Você pode executar a simulação de alertas em seu teste, bem como na instância de produção. A automação de teste simula a automação usando até 200 alertas recentes que correspondem às condições especificadas. Ele considera somente grupos em que todos os alertas atendem às condições para essa automação, embora algoritmos de agrupamento adicionais possam ser aplicados durante o tempo de execução real.
    11. Selecione Salvar automação.
      Uma notificação aparece quando a automação é salva com sucesso. Caso contrário, uma mensagem de erro será exibida. A automação de grupo que você criou aparece na página Alertas de grupo, onde você pode exibir, editar ou excluir a automação existente.

    O que Fazer Depois

    Você pode escalar alertas que precisam de respostas mais rápidas de equipes ou indivíduos implementando a automação de resposta.