Enrich automation

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 9 min. de leitura

    • O aprimoramento de alertas envolve transformar eventos brutos de ferramentas de monitoramento em um formato padrão, auxiliando no agrupamento e na resposta automatizados. Isso inclui extrair campos de cargas de alertas longas ou compondê-los em um formato padronizado. Além disso, você pode criar marcadores, que são metadados adicionados aos alertas para facilitar a filtragem e o agrupamento.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin, evt_team_operator ou srm_responder

    Por Que e Quando Desempenhar Esta Tarefa

    Extrair usa valores de campos de carga de evento e os coloca em campos de saída de alerta, enquanto a composição combina vários campos de alerta em um. Para obter mais informações, consulte Extraindo e compondo campos de alerta.

    Para usuários familiarizados com o clássico Gestão de eventos enrich automações crie regras de evento, mas com uma interface mais fácil e com melhor suporte para equipes. As regras de evento oferecem alguns recursos avançados, como limites e identificação de IC usando IRE, que ainda não estão disponíveis nas automações de aprimoramento. Os administradores também podem enriquecer alertas com regras de mapeamento de campo de evento. Alterar valores de alerta cria uma regra de mapeamento de campo de evento com o tipo de mapeamento Mapear campo e valor de transformação (campo único) . Esta regra está vinculada à regra de evento e é executada simultaneamente, permitindo o mapeamento simplificado e a transformação de dados de evento para enriquecer os alertas.

    Procedimento

    1. Navegar até Espaços > Espaço de operações de serviços.
    2. Na navegação primária, selecione o ícone Automação de alertas ( Ícone de automação de alertas).
    3. Na página Automação de alertas, em Tipos de automação , selecione Enriquecer .
      A página Aprimorar alertas é exibida.
      Aprimorar página de automação
    4. Selecione Criar automação .
      Por padrão, o Ativo a caixa de seleção está marcada.
    5. Em Nome da automação , insira o nome da automação para aprimorar alertas.
    6. Em Se essas condições forem atendidas configure critérios de filtro para identificar os alertas que você deseja aprimorar.

      A condição é avaliada em relação ao evento bruto recebido do sistema de monitoramento de origem e não considera os campos aprimorados.

      1. Em Grupo de atribuição menu de campo, selecione o grupo de atribuição para determinar quais alertas da equipe acionarão a automação.

        . Grupo de atribuição representa uma equipe específica responsável por lidar com determinados alertas. Ao selecionar um grupo de atribuição, você garante que somente os alertas atribuídos a essa equipe específica acionarão a automação. Dessa forma, a automação é direcionada e ativa somente para alertas relevantes associados à equipe selecionada.

        Nota:
        • Se você estiver conectado à instância com uma função de administrador (evt_mgmt_admin), todos os grupos de atribuição estarão disponíveis. Você também pode selecionar Todos os grupos para habilitar a geração de alertas para qualquer um dos grupos disponíveis.
        • Se você for um operador de equipe, somente os grupos dos quais você é membro estarão disponíveis.
        • Somente membros do grupo selecionado ou administradores podem atualizar ou excluir a automação.
      2. Em Origem menu de campo, selecione a ferramenta de monitoramento de onde o alerta é gerado.
      3. Defina as condições selecionando o campo, o operador e o valor do campo. Em seguida, adicione mais condições usando os operadores OR ou AND.
        Para adicionar outro conjunto de condições, selecione Novo conjunto de condições . Você também pode adicionar manualmente um campo de informações adicional se não o vir na lista suspensa.
        Nota:
        Selecione Carregar eventos anteriores para exibir eventos anteriores ao criar a automação.
        Página de regra de enriquecimento, onde você pode fornecer nome de automação, definir condições e ações.
    7. Em Em seguida, aplique as ações a seguir selecione as ações de automação que serão acionadas por esta automação.
      Você deve selecionar pelo menos uma ação.
      • Extrair campos de alerta Recupera valores de campo de alerta da carga do evento e os coloca em um campo de saída de alerta.
      • Copiar ou compor campos : Mescla vários campos de alerta, marcadores e texto para gerar uma saída de alerta composta.
      • Valores de alerta de mudança Mapeia o valor atual dos campos de alerta para os novos valores especificados.
      • Melhorar a identificação do item de configuração (IC) Identifica ICs que não sejam um host para melhor agrupamento de alertas, atribuição de equipe e integridade do serviço.
      OpçãoAção
      Extrair campos de alerta
      1. Habilite o. Extrair campos de alerta comutador de alternância.
      2. Em Campo de entrada de origem , selecione um valor. O menu exibe os campos de evento padrão, informações adicionais e marcadores. O valor do campo é exibido. Você também pode inserir manualmente um nome de campo que não seja exibido e adicionar seu próprio valor.

        O exemplo de painel de eventos de origem exibe uma amostra de eventos recentes em seu sistema. Se nenhum evento for exibido, você poderá criar um evento, consulte Crie ou edite uma regra de evento.

      3. Em Expressão regular crie uma expressão regular para extrair o valor que você deseja extrair.
        Nota:
        Você pode compor texto usando convenções de formato de expressão regular (regex). Use um ou mais grupos de captura com parênteses para extrair partes da entrada. Os grupos de captura na expressão regular são atribuídos a saídas de alerta com base na ordem em que aparecem. O regex deve corresponder à entrada inteira, portanto, considere cercar seu regex com .* em cada extremidade Por exemplo, .acme.com.* captura o nome do host em um nome de domínio totalmente qualificado. O analisador do mecanismo regex é compatível com expressões regulares compatíveis com Perl (PCRE).

      4. Em Saída de alerta , selecione um campo de alerta ou um marcador de alerta. Você também pode inserir manualmente um novo nome de campo.

        Se você quiser adicionar um marcador de alerta, selecione Definido como um marcador caixa de seleção.
        Dica:
        Crie marcadores de alerta que podem ser compartilhados entre as origens para facilitar a filtragem e o agrupamento, como os marcadores prontos para uso.
        Extrair campos de alerta
      5. Selecione Visualize vários eventos verificar se a expressão regular (regex) é de uso geral o suficiente para extrair valores corretamente em muitos exemplos.
        Nota:
        Esta opção está disponível somente quando eventos de origem de exemplo estão disponíveis e correspondem ao filtro regex.
        Visualize valores extraídos de vários eventos

      Para incluir campos adicionais para extração, selecione Adicionar campos .
      Copiar ou compor campos
      1. Habilite o. Copiar ou compor campos comutador de alternância.
      2. Em Campo de entrada de origem selecione campos de alerta e/ou marcadores de alerta, insira manualmente um nome de campo ou até adicione texto livre. Os campos de alerta são exibidos em (campo) formato de sintaxe.
      3. Em Saída de alerta selecione um campo de alerta existente ou marcador de alerta ou insira manualmente um campo de alerta. . Saída de alerta o campo é um alerta aprimorado que contém os dados de alerta compostos.
        Para facilitar o agrupamento, você pode selecionar um marcador no menu. Se você quiser usar o novo nome do campo como marcador para agrupamento, selecione Definido como um marcador caixa de seleção.
        Dica:
        Crie marcadores de alerta que podem ser compartilhados entre as origens para facilitar a filtragem e o agrupamento, como os marcadores prontos para uso.
        Compor campos de alerta

      Para criar composições de dados de alerta adicionais, selecione Adicionar campos .
      Valores de alerta de mudança
      1. Habilite o. Valores de alerta de mudança comutador de alternância.
      2. Em Campo de alerta insira o campo no alerta para o qual você deseja mapear valores.
      3. Em Do valor insira o valor original no campo de alerta que você deseja mudar.
      4. Em Valor de destino insira o novo valor que substituirá o valor original no campo de alerta.

        Para adicionar mais valores de campo, selecione Adicionar valor e para adicionar mais campos ao mapa, selecione Adicionar campo ao mapa .

        Altere os valores de um campo para um formato mais fácil de ler, filtrar e agrupar.
      Aprimorar identificação de item de configuração (IC)

      Esta opção permite que você mude como os alertas são vinculados ou vinculados a um Item de configuração (IC), garantindo que os alertas sejam associados aos componentes DE TI corretos para melhor visibilidade e resolução de problemas mais rápida.

      A maneira padrão e mais comum de vincular alertas a ICs é baseada em campo. Pronto para uso, sem necessidade de configuração. Preencha Seu alerta com o Nome do IC, Nome de domínio totalmente qualificado (FQDN), IP ou endereço MAC. Isso oferece suporte a ICs de host, incluindo Computadores, Sistemas Operacionais (SO), Switches, Roteadores ou qualquer tipo de IC ou qualquer classe que estenda a tabela [cmdb_ci_hardware].

      Você pode habilitar esta ação para melhorar a identificação de IC para outros tipos de ICs, como processos ou instâncias de serviço. O sistema pesquisa um IC correspondente na tabela do CMDB apropriada com base no tipo de IC selecionado. Por exemplo, se você selecionar Instância de máquina virtual VMware como a classe de IC, o sistema pesquisará um registro correspondente na tabela [cmdb_ci_vmware_instance] usando detalhes do registro de regra de evento, especificamente o. Informações adicionais campos.

      Melhorar a seção de identificação do item de configuração (IC)
      1. Selecione Identificar IC em execução em um host específico Caixa de seleção para especificar que o IC está sendo executado em um host específico.

        Certifique-se de que O campo no alerta é preenchido corretamente para identificar um IC de host. O IC que você está identificando deve ter um executado em Relacionamento com o IC do host ou BE mapeado para o host .

        Nota:
        Além disso, se o valor for em Saída de alerta Campo da seção Extrair campos ou no Saída para o campo Da seção Copiar ou compor campos e selecione Identificar IC em execução em um host específico caixa de seleção.
      2. Selecione a classe de IC a ser vinculada.

        Selecione Exibir itens Para ver a lista de ICs deste tipo e seus valores de atributo.

      3. Certifique-se de que pelo menos um atributo de IC esteja presente em Informações adicionais campo do alerta.

        Para obter instruções sobre como preencher esses campos, consulte Defina campos de informações adicionais para corresponder ao formato de atributo de IC. O sistema tenta corresponder os valores do Informações adicionais Campo do alerta com a tabela de IC. Se uma correspondência for encontrada, o alerta será vinculado ao IC correspondente.

      4. Selecione Identificação de IC de teste Para testar a identificação de IC em eventos de amostra.
        Resultado da identificação de IC de teste.

      Para obter mais informações sobre vinculação de IC, consulte Vincular alertas a ICs.
    8. Em E, finalmente para continuar executando outras automações de aprimoramento com as mesmas condições de filtro depois que esta automação for executada, selecione Execute outras automações de alerta de aprimoramento .
      Opção para selecionar se você deseja executar outras automações de alerta de aprimoramento.

      Se você selecionar Não execute outras automações de alerta de aprimoramento automações adicionais deste tipo serão interrompidas depois que esta automação for executada uma vez. Se a automação for gerenciada por um administrador, ela interromperá a execução de automações de propriedade do administrador, mas continuará a executar automações de propriedade de outros grupos de atribuição.

    9. Em Detalhes de automação forneça uma descrição de pedido e automação.
      Enriquecer a seção de detalhes de automação
      1. Em Pedido insira a ordem de automação.
        Nota:
        As automações são executadas na ordem da mais baixa para a mais alta. Certifique-se de que não haja automações de aprimoramento com um número de pedido inferior que tenham condições correspondentes e tenham Aplique automações adicionais deste tipo definido como falso. Caso contrário, isso poderá impedir a execução de automações subsequentes.

        . A automação é gerenciada por o campo exibe a equipe ou o grupo de atribuição que possui, edita e pode excluir esta automação. O grupo de atribuição é o mesmo definido em Se essas condições forem atendidas seção.

      2. Em Descrição da automação insira uma breve descrição da automação.
    10. Selecione Salvar automação .
      Uma notificação é exibida quando a automação é salva com sucesso. Caso contrário, uma mensagem de erro será exibida. A automação de aprimoramento que você criou aparece na página Alertas de aprimoramento, na qual você pode exibir, editar ou excluir a automação existente.

    O que Fazer Depois

    Você pode gerenciar alertas de forma mais eficaz agrupando alertas semelhantes com a ajuda de Criar automação de grupo.