Créer une automatisation d’enrichissement

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 9 minutes de lecture

    • L’enrichissement des alertes consiste à transformer les événements bruts d’outils de surveillance en un format standard, ce qui facilite le regroupement et la réponse automatisés. Cela inclut l’extraction des champs à partir de longues charges utiles d’alerte ou leur composition dans un format standardisé. En outre, vous pouvez créer des balises, qui sont des métadonnées ajoutées aux alertes pour faciliter le filtrage et le regroupement.

    Avant de commencer

    Rôle requis : evt_mgmt_admin, evt_team_operator ou srm_responder

    Pourquoi et quand exécuter cette tâche

    L’extraction prend des valeurs des champs de charge utile d’événement et les place dans des champs de sortie d’alerte, tandis que la composition combine plusieurs champs d’alerte en un seul. Pour plus d'informations, consultez Extraction et rédaction des champs d’alerte.

    Pour les utilisateurs familiarisés avec l’expérience classique Gestion des événements , les automatisations d’enrichissement créent des règles d’événement, mais avec une interface simple et une meilleure prise en charge des équipes. Les règles d’événements offrent quelques fonctionnalités avancées telles que les seuils et l’identification de CI à l’aide d’IRE qui ne sont pas encore disponibles dans les automatisations d’enrichissement. Les administrateurs peuvent également enrichir les alertes avec des règles de mappage de champs d’événements. La modification des valeurs d’alerte crée une règle de mappage de champs d’événements avec le type de mappage Mapper le champ et la valeur de transformation (champ unique). Cette règle est liée à la règle d’événement et s’exécute simultanément, ce qui permet un mappage et une transformation rationalisés des données d’événement afin d’enrichir les alertes.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans la navigation primaire, sélectionnez l’icône Automatisation des alertes (icône Automatisation des alertes).
    3. Sur la page Automatisation des alertes, sous Types d’automatisations, sélectionnez Enrichir.
      La page Enrichir les alertes s’affiche.
      Enrichir la page d'automatisation
    4. Sélectionnez Créer une automatisation.
      Par défaut, la case Actif est cochée.
    5. Dans le champ Nom de l’automatisation , entrez le nom de l’automatisation pour enrichir les alertes.
    6. Dans la section Si ces conditions sont remplies , définissez des critères de filtre pour identifier les alertes que vous souhaitez enrichir.

      La condition est évaluée par rapport à l’événement brut reçu du système de surveillance de la source et ne tient pas compte des champs enrichis.

      1. Dans le menu du champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer les alertes de l’équipe qui déclencheront l’automatisation.

        Le groupe d’affectation désigne une équipe spécifique responsable du traitement de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle d’administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur d’équipe, seuls les groupes dont vous êtes membre sont disponibles.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Dans le menu Champ Source , sélectionnez l’outil de surveillance à partir duquel l’alerte est générée.
      3. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ensuite, ajoutez d’autres conditions à l’aide des opérateurs OR ou ET.
        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.
        Remarque :
        Sélectionnez Charger les événements passés pour afficher les événements précédents lors de la création de l’automatisation.
        Page de règles d’enrichissement dans laquelle vous pouvez fournir le nom de l’automatisation, définir les conditions et les actions.
    7. Dans la section Ensuite, appliquez les actions suivantes , sélectionnez les actions d’automatisation qui seront déclenchées par cette automatisation.
      Vous devez sélectionner au moins une action.
      • Extraire des champs d’alerte : récupère les valeurs de champ d’alerte à partir de la charge utile de l’événement et les place dans un champ de sortie d’alerte.
      • Copier ou composer des champs : fusionne divers champs d’alerte, balises et textes pour générer une sortie d’alerte composée.
      • Changer les valeurs d’alerte : mappe la valeur actuelle des champs d’alerte à de nouvelles valeurs spécifiées.
      • Améliorer l’identification des éléments de configuration (CI) : identifie les CI autres qu’un hôte pour améliorer le regroupement des alertes, l’affectation des équipes et l’intégrité du service.
      OptionAction
      Extraire des champs d'alertes
      1. Activez le commutateur Extraire les champs d’alerte .
      2. Dans le menu du champ d’entrée source , sélectionnez une valeur. Le menu affiche les champs d’événement standard, les informations supplémentaires et les balises. La valeur du champ s’affiche alors. Vous pouvez également saisir manuellement un nom de champ qui n’est pas affiché et ajouter votre propre valeur.

        L’exemple du volet Événements sources affiche un échantillon des événements récents dans votre système. Si aucun événement n’est affiché, vous pouvez créer un événement, reportez-vous à la section Créer ou modifier une règle d'événement.

      3. Dans le champ Expression régulière , créez une expression régulière pour extraire la valeur que vous souhaitez extraire.
        Remarque :
        Vous pouvez composer du texte en utilisant les conventions de format d’expression régulière (regex). Utilisez un ou plusieurs groupes de capture avec des parenthèses pour extraire des parties de l’entrée. Les groupes de capture de l’expression régulière sont affectés aux sorties d’alerte en fonction de l’ordre dans lequel elles apparaissent. La regex doit correspondre à l’intégralité de l’entrée, pensez donc à entourer votre regex de .* à chaque extrémité. Par exemple, (\w+).acme.com.* capture le nom d’hôte dans un nom de domaine complet. L’analyseur du moteur regex est compatible avec les expressions régulières compatibles Perl (PCRE).

      4. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte. Vous pouvez également saisir manuellement un nouveau nom de champ.

        Si vous souhaitez ajouter une balise d’alerte, cochez la case Définir en tant que balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Extraire des champs d'alertes
      5. Sélectionnez Prévisualiser plusieurs événements pour vérifier que l’expression régulière (regex) est suffisamment polyvalente pour extraire correctement les valeurs dans de nombreux exemples.
        Remarque :
        Cette option n’est disponible que lorsque des exemples d’événements sources sont disponibles et mis en correspondance avec le filtre regex.
        Prévisualiser les valeurs extraites de plusieurs événements

      Pour inclure des champs supplémentaires pour l’extraction, sélectionnez + Ajouter des champs.
      Copier ou composer des champs
      1. Activez le commutateur Copier ou composer les champs .
      2. Dans le menu Champ d’entrée source , sélectionnez des champs d’alerte et/ou des balises d’alerte, saisissez manuellement un nom de champ ou même ajoutez du texte libre. Les champs d’alerte sont affichés au format de syntaxe ${field} .
      3. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte existant, ou saisissez manuellement un champ d’alerte. Le champ Sortie d’alerte est une alerte enrichie contenant les données d’alerte composées.
        Pour faciliter le regroupement, vous pouvez sélectionner une balise dans le menu. Si vous souhaitez utiliser le nouveau nom de champ comme balise pour le regroupement, cochez la case Définir comme balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Composer des champs d’alerte

      Pour créer des compositions de données d’alerte supplémentaires, sélectionnez + Ajouter des champs.
      Changer les valeurs de l'alerte
      1. Activez le commutateur Changer les valeurs d’alerte .
      2. Dans Champ Alerte, saisissez le champ de l’alerte pour lequel vous souhaitez mapper des valeurs.
      3. Dans le champ Valeur De , saisissez la valeur d’origine dans le champ d’alerte que vous souhaitez modifier.
      4. Dans le champ Valeur à , entrez la nouvelle valeur qui remplacera la valeur d’origine dans le champ d’alerte.

        Pour ajouter d’autres valeurs de champ, sélectionnez + Ajouter une valeur et pour ajouter d’autres champs à mapper, sélectionnez + Ajouter un champ à la carte.

        Changez les valeurs d’un champ dans un format plus facile à lire, à filtrer et à regrouper.
      Améliorer l'identification des éléments de configuration (CI)

      Cette option vous permet de modifier la façon dont les alertes sont liées ou liées à un élément de configuration (CI), en veillant à ce que les alertes soient associées aux composants informatiques corrects pour une meilleure visibilité et une résolution plus rapide des problèmes.

      La méthode par défaut et la plus courante de lier des alertes à des CI est basée sur le champ Nœud . Cela fonctionne immédiatement sans configuration nécessaire. Utilisez-le en remplissant le champ Nœud de votre alerte avec le nom d’un CI, un nom de domaine complet (FQDN), une adresse IP ou une adresse MAC. Cela prend en charge les CI hôtes, y compris les ordinateurs, les systèmes d’exploitation, les commutateurs, les routeurs ou tout type de CI ou toute classe étendant la table [cmdb_ci_hardware].

      Vous pouvez activer cette action pour améliorer l’identification de CI pour d’autres types de CI tels que des processus ou des instances de service. Le système recherche un CI correspondant dans la table CMDB appropriée en fonction du type de CI sélectionné. Par exemple, si vous sélectionnez Instance d’ordinateur virtuel VMware comme classe CI, le système recherche un enregistrement correspondant dans la table [cmdb_ci_vmware_instance] à l’aide des détails de l’enregistrement de règle d’événement, en particulier les champs Informations supplémentaires .

      Améliorer la section d’identification de l’élément de configuration (CI)
      1. Cochez la case Identifier le CI en cours d’exécution sur un hôte spécifique pour spécifier que le CI s’exécute sur un hôte spécifique.

        Assurez-vous que le champ Nœud de l’alerte est renseigné correctement pour identifier un CI hôte. Le CI que vous identifiez doit avoir une relation d’exécution avec le CI hôte ou être mappé à l’hôte.

        Remarque :
        En outre, si la valeur est Nœud dans le champ Sortie d’alerte de la section Extraire les champs ou dans le champ Sortie vers de la section Copier ou composer les champs, cochez la case Identifier le CI en cours d’exécution sur un hôte spécifique.
      2. Sélectionnez la classe CI à lier.

        Sélectionnez Afficher les éléments pour afficher la liste des CI de ce type et leurs valeurs d’attribut.

      3. Assurez-vous qu’au moins un attribut de CI est présent dans le champ Informations supplémentaires de l’alerte.

        Pour savoir comment remplir ces champs, reportez-vous à la section Définir les champs d’informations supplémentaires pour correspondre au format d’attribut CI. Le système tente de faire correspondre les valeurs du champ Informations supplémentaires de l’alerte avec la table CI. Si une correspondance est trouvée, l’alerte est liée au CI correspondant.

      4. Sélectionnez Tester l’identification du CI pour tester l’identification du CI sur des exemples d’événements.
        Résultat du test d’identification du CI.

      Pour plus d’informations sur la liaison de CI, reportez-vous à la section Liaison des alertes aux CI.
    8. Dans la section Et enfin , pour continuer à exécuter d’autres automatisations d’enrichissement avec les mêmes conditions de filtre après l’exécution de cette automatisation, sélectionnez Exécuter d’autres automatisations d’alertes d’enrichissement.
      Option permettant de choisir si vous souhaitez exécuter d’autres automatisations des alertes d’enrichissement.

      Si vous sélectionnez Ne pas exécuter d’autres automatisations d’alertes d’enrichissement, les automatisations supplémentaires de ce type cesseront de s’exécuter une fois que cette automatisation aura été exécutée. Si l’automatisation est gérée par un administrateur, elle arrête d’exécuter les automatisations appartenant à l’administrateur, mais continue d’exécuter les automatisations appartenant à d’autres groupes d’affectation.

    9. Dans la section Détails de l’automatisation , fournissez une description de la commande et de l’automatisation.
      Enrichir la section des détails de l’automatisation
      1. Dans le champ Commande , saisissez l’ordre d’automatisation.
        Remarque :
        Les automatisations s’exécutent dans l’ordre, de la plus basse à la plus élevée. Assurez-vous qu’il n’y a pas d’automatisations d’enrichissement avec un numéro d’ordre inférieur dont les conditions correspondent et dont l’option Appliquer des automatisations supplémentaires de ce type est définie sur faux. Sinon, cela peut empêcher l’exécution des automatisations suivantes.

        Le champ L’automatisation est gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .

      2. Dans le champ Description de l’automatisation , saisissez une brève description de l’automatisation.
    10. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est sauvegardée avec succès. Sinon, un message d’erreur s’affiche. L’automatisation d’enrichissement que vous avez créée s’affiche sur la page Enrichir les alertes où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez gérer les alertes plus efficacement en regroupant des alertes similaires à l’aide de Créer une automatisation de groupe.