タグクラスターアラートのグループ化を使用すると、アラートのグループを簡単に作成できます。この方法ではコードを使用せずにアラートをグループ化するため、CMDB やモデルトレーニングを使用せずにアラートを関連付けることが可能です。より簡単に類似のアラートをグループ化できるため、大量のアラートの全体的なノイズが軽減されます。

タグクラスターアラートのグループ化は、ServiceNow Store で利用可能なタグベースのアラートによるクラスタリングエンジンアプリケーションをアクティブ化した直後に有効になります。このグループ化は、「アラート相関ロジックの順序の設定」で指定されている相関ロジックの順序に従って適用されます。アラートグループ化タグは、多対多 (M2M) ベースで定義に添付されます。複数のタグを 1 つの定義にリンクでき、1 つのタグを複数の定義に含めることができます。タグクラスターアラートのグループ化定義から形成されたグループは、「タグクラスター」グループタイプとして分類されます。

タグクラスターアラートのグループ化はドメインセパレーションをサポートしているため、ドメインごとに独自のアラートグループ化構成とロジックを設定できます。

まず、アラートグループ化タグを作成して、アラートをグループ化する基準を定義します。完全一致、近似 (「あいまい」) 一致、または文字パターンの一致を要求するようにタグを設定できます。

事前設定されたタグを使用して、アラートのクラスタリングを迅速化することもできます。こうした事前定義されたタグは、アラートからマッピングされ、アラートフィールド、アラートタグ、アラート追加情報などのソースからの情報に基づいています。必要なデータが不足していて、選択したタグソースがアラート CI またはアラート CI キーである場合、タグには構成管理データベース (CMDB) の構成アイテム (CI) の値が入力されます。事前定義されたタグは、「out of the box (すぐに利用可能)」を含む説明で容易に識別できます。

1 つ以上のタグをアラートクラスタリング定義 (アラート相関の条件を指定したもの) に添付できます。独自のアラートクラスタリング定義を作成するか、アプリケーションに用意されている事前定義された定義を使用することができます。事前定義された定義には、関連付けられたタグが付属しています。

定義に 1 つ以上のアラートクラスタリングタグを添付すると、システムでアラートが収集され、それぞれのタグと定義に指定されたすべてのタグ値とが一致しているかどうかが確認されます。一致または類似するタグ値を持つアラートがグループ化されます。新しい受信アラートは、そのタグがグループの作成に使用された定義のタグと一致する場合、既存のグループに追加されます。

タグクラスターをグループ化する場合、アラートは、アラートクラスタリング設定で定義されている期間に基づいて、グループに追加されます。最初のアラート (仮想アラート) から後続のアラートまでの時間が評価されます。新しいアラートを 2 つ受信し、その時間差が定義された期間内である場合、それらのアラートはグループに追加されます。初期イベントの生成時刻は、期間の関連性を判断するために使用されます。