Agrupamento de alertas baseado em texto

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • No agrupamento de alertas baseado em texto, os alertas são organizados e correlacionados com base em padrões de texto específicos ou palavras-chave no conteúdo do alerta. Essa abordagem agrupa dinamicamente alertas que compartilham características textuais semelhantes, como mensagens de erro ou descrições de eventos, permitindo um gerenciamento mais flexível e adaptável de alertas.

    A solução EM Alert Clustering é um método usado para correlacionar alertas com base em semelhanças em campos específicos e formar clusters ou grupos. Em ServiceNow Gestão de eventos, ele cria clusters com base nos campos Descrição, Nome da métrica e Item de configuração. Classe. Essa solução organiza os alertas em grupos baseados em texto e, quando um novo alerta chega, a Previsão de ML identifica o cluster apropriado, agrupando alertas no mesmo cluster.
    Nota:
    O trabalho de previsão de ML é assíncrono e atribui alertas em tempo real a clusters, o que pode resultar em pequenos atrasos. Esse atraso pode fazer com que grupos baseados em texto sejam criados vários minutos depois, já que o trabalho de agrupamento de alertas é executado uma vez por minuto. Se os resultados da previsão não estiverem disponíveis durante uma execução, eles serão verificados novamente no próximo trabalho de agrupamento.

    Para que a lógica baseada em texto seja executada, você deve ter o plug-in Inteligência preditiva (com.glide.platform_ml) instalado e a definição da Solução de cluster de alerta EM ativada.

    Há configurações ou limites específicos usados para controlar o comportamento do agrupamento de alertas baseado em texto. Esses limites definem os critérios de como os alertas são agrupados com base em padrões ou atributos de texto. Os limites baseados em texto são:
    • Limite de qualidade do cluster: o limite de qualidade do cluster (sa_analytics.alert_grouping_tb_cluster_quality_threshold) determina a qualidade mínima necessária para que um cluster de alerta seja considerado válido. Este limite garante que somente clusters com um nível mínimo de semelhança e confiabilidade sejam usados. Os clusters que atendem a esse limite são considerados válidos, melhorando a precisão dos agrupamentos e reduzindo o ruído de clusters irrelevantes ou de baixa qualidade. O intervalo do limite é de 1 a 100 e o valor padrão é 70.
    • Limite de classificação de alerta: o limite de classificação de alerta (sa_analytics.alert_grouping_tb_alert_rank_threshold) define a classificação mínima necessária para que um alerta seja incluído em um grupo. Este limite garante que somente alertas com um determinado nível de semelhança sejam agrupados, filtrando alertas com classificação inferior para manter a qualidade do grupo de alertas. O valor padrão é 0,3, em que valores menores indicam melhor semelhança.
    Nota:
    Para usar essas propriedades, você precisa criar propriedades com os mesmos nomes e atribuir os valores necessários a elas. Para obter mais informações sobre como criar uma propriedade, consulte Add a system property.

    A definição da solução EM Alert Clustering está localizada na tabela [ml_capability_definition_clustering]. Para acessá-lo, navegue até Inteligência preditiva > Clustering > Definições de solução.

    Para verificar se a definição da solução está ativa, consulte Verificar solução de cluster baseada em texto. Para desabilitar a definição da Solução de cluster de alerta EM, desabilite o agrupamento de alertas baseado em texto definindo a propriedade sa_analytics.text_based_group_enabled como falsa e desmarcando a caixa de seleção Ativo na definição da Solução de cluster de alerta EM.

    Exemplo de agrupamento de alertas baseado em texto

    Cenário Exemplo
    Problemas de conectividade de rede: há problemas generalizados de conectividade de rede que afetam vários departamentos.

    Alertas de várias ferramentas de monitoramento de rede podem relatar problemas como Segmento de rede inativo, Alta perda de pacotes ou Problemas de conectividade na sub-rede. O agrupamento de alertas baseado em texto usa a Solução EM Alert Clustering e a Previsão de ML para simplificar o gerenciamento de alertas. A solução EM Alert Clustering emprega algoritmos de Processamento de linguagem natural (NLP) para analisar e identificar padrões de texto comuns em alertas, como Segmento de rede inativo ou Perda alta de pacotes. Em seguida, ele agrupa esses alertas com base na semelhança de texto, agrupando problemas relacionados. A Previsão de ML aprimora ainda mais esse processo avaliando novos alertas em tempo real e atribuindo-os aos clusters existentes apropriados com base em seus padrões de texto.

    Esse agrupamento dinâmico fornece uma exibição consolidada dos problemas de conectividade, permitindo que os engenheiros de rede diagnostiquem rapidamente e resolvam a causa raiz dos problemas com mais eficiência.