Agrupamento de alertas baseado no tráfego de rede

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • O método de agrupamento de alertas baseado no tráfego de rede agrupa alertas analisando as conexões de tráfego de rede entre processos entre hosts. Ele aproveita os candidatos ao serviço identificados pelo Mapeamento de serviços DE ML para agrupar alertas relacionados a problemas de tráfego de rede. Isso garante que os alertas de processos conectados diretamente no mesmo candidato de serviço sejam agrupados, oferecendo uma exibição mais contextual dos incidentes de rede.

    Candidatos a serviço são possíveis coleções de processos em seu ambiente DE TI que são identificados com base em suas conexões e interações de rede. Eles representam diferentes serviços ou funções que seus sistemas DE TI fornecem, mesmo que não estejam totalmente detalhados no banco de dados de configuração do seu sistema. Por exemplo, os candidatos ao serviço podem agrupar todos os processos envolvidos na entrega de e-mail, mesmo que os detalhes da configuração estejam incompletos.

    ML Service Mapping usa aprendizado de máquina para descobrir e mapear automaticamente esses candidatos de serviço. Ele identifica como diferentes processos e componentes são conectados e agrupados com base em seu tráfego de rede e interações. Isso ajuda a entender e organizar os serviços DE TI e seus componentes, facilitando o gerenciamento e a solução de problemas. Por exemplo, o Mapeamento de serviços DE ML pode identificar e mapear automaticamente as conexões entre servidores de e-mail e clientes de e-mail com base em suas interações de rede.

    Nota:
    O agrupamento de alertas baseado no tráfego de rede está habilitado para novos clientes que começam com Zurich versão. Os clientes existentes precisam habilitar a propriedade Habilitar correlação de tráfego de rede ( sa_analytics.agg.query_network_traffic_correlation_enabled) manualmente.

    Como funciona

    • Identificação do host: Alertas relacionados a problemas de rede são gerados de várias origens.
    • Identificação do contexto de rede: O processo de correlação usa resultados de descoberta horizontal e o Mapeamento de serviços DE ML para identificar os candidatos de serviço e as conexões de rede mais relevantes.

      Este processo usa os resultados do trabalho agendado Gestão de eventos - Preencher o processo candidato a serviço para mapeamento de processo - Diariamente , Que é executado uma vez por dia e é usado para armazenar conexões processo a processo para ICs de host no formato exigido pelo algoritmo de agrupamento de alertas.

    • Agrupamento de alertas: Os alertas são agrupados com base em conexões diretas de processo a processo no contexto do mesmo candidato de serviço. O agrupamento é atualizado em tempo real conforme novos alertas são recebidos.

    Benefícios

    • Maior precisão: Ao aproveitar conexões de tráfego de rede e candidatos a serviço, esse método fornece alta precisão no agrupamento de alertas, minimizando falsos positivos.
    • Cobertura aprimorada: Agrupa alertas com eficácia, mesmo em ambientes com baixa maturidade do CMDB, cobrindo uma gama mais ampla de alertas e problemas.
    • Resolução simplificada: As equipes DE TI podem identificar e resolver rapidamente problemas relacionados em massa, reduzindo o volume de alertas para gerenciar e melhorar a eficiência operacional.