Formulário Regra de correlação de alertas

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Gerencie os campos que definem como os alertas são correlacionados e agrupados.

    Tabela 1. Formulário Regra de correlação de alertas
    Campo Descrição
    Nome Nome da regra de correlação.
    Ordem A prioridade de avaliação da regra. Regras com valores numéricos mais baixos recebem prioridade mais alta. Um alerta é avaliado em relação a cada regra de ação de alerta até que uma correspondência seja encontrada.

    Por exemplo, se você tiver duas regras de correlação de alertas com prioridades 10 e 20, respectivamente, a regra com prioridade 10 será avaliada primeiro. Se um alerta corresponder aos critérios da regra com prioridade 10, nenhuma regra adicional será verificada. Se não corresponder, o alerta será avaliado em relação à regra com prioridade 20.
    Ativo Opção para ativar ou desativar a regra.
    Avançado Opção para alternar para o modo avançado, que permite usar scripts personalizados para definir sua própria lógica. A regra de correlação de amostra, EXEMPLO de regra de correlação de alerta , é fornecido pronto para uso para referência. Você pode usar o script disponível como guia.
    Nota:
    . Filtro a condição especifica a quais alertas a regra se aplicará. Certifique-se de que a mesma condição seja usada no script avançado para identificar alertas a serem incluídos no grupo.
    Descrição Descrição da regra.
    Alerta primário A condição de filtro para identificar o alerta que é o alerta primário, ou o alerta mais importante, em um conjunto de alertas relacionados.

    Este campo não aparece quando Avançado selecionado.
    Alerta Secundário A condição de filtro para identificar o alerta relacionado ao alerta primário, no entanto, é de menor importância.

    Este campo não aparece quando Avançado selecionado.
    Filtrar A condição do filtro para identificar o alerta no qual o script é executado.

    Filtro está disponível somente quando Avançado selecionado.

    Os parâmetros de filtro diferenciam maiúsculas de minúsculas por padrão. Para desabilitar a distinção entre maiúsculas e minúsculas, defina sa_analytics.correlation_case_sensitiveparâmetro para falso .
    Tipo de relacionamento Especifique o tipo de relacionamento entre o alerta primário e secundário:
    • Nenhum relacionamento : Ignore o relacionamento ao procurar uma correspondência.
    • Mesmo IC ou nó : Relacione ambos os alertas com o mesmo IC. Se o campo IC estiver em branco, os alertas deverão ter o mesmo valor de nó.
    • Primário é primário Relacione os alertas em que o alerta primário é o primário em um relacionamento primário-secundário, conforme descrito na tabela Tipos de relacionamento de IC [cmdb_rel_ci].
    • Primário é Secundário Relacione os alertas em que o alerta primário é o secundário em um relacionamento secundário-primário, conforme descrito na tabela Relacionamentos de IC [cmdb_rel_ci].

    Este campo não aparece quando Avançado a caixa de seleção está marcada.
    Diferença de tempo em minutos Os minutos entre os quais o evento primário e secundário devem ocorrer para corresponder a esta regra. O valor padrão é 60 minutos.
    Nota:
    O valor desta entrada não pode exceder 1440 minutos (um dia).

    Este campo não aparece quando Avançado selecionado.
    Script Script personalizado que você pode modificar para retornar uma cadeia de caracteres JSON que especifica os alertas primários e secundários.

    Selecione Avançado para exibir o campo de script.

    
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
    Relacionamento Descrição do relacionamento de IC entre primário e secundário, por exemplo, Alocado de::Alocado para ou Alocado para::Alocado de .

    Este campo será exibido somente se for um dos dois Primário é primário ou Primário é Secundário selecionado para Tipo de relacionamento .

    Relacionamento

    Este campo não aparece quando Avançado selecionado.