Créer une automatisation de groupe

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 8 minutes de lecture

    • L’automatisation du regroupement vous aide à gérer les alertes plus efficacement en collectant des alertes similaires. Il est ainsi plus facile de voir les modèles, d’identifier rapidement les problèmes et de réagir efficacement. En organisant les alertes de cette manière, vous pouvez réduire le bruit des alertes, identifier les causes premières et les affecter aux équipes appropriées.

    Avant de commencer

    Rôle requis : evt_mgmt_admin, evt_team_operator ou srm_responder

    Pourquoi et quand exécuter cette tâche

    Le regroupement de cette méthode est particulièrement utile lorsque les alertes partagent des données ou des balises communes, telles qu’un nœud ou un emplacement. Vous pouvez utiliser des champs ou des balises renseignés via une automatisation d’enrichissement. C’est le meilleur moyen de regrouper les alertes lorsque votre CMDB ou vos cartes de services sont immatures. Cela complète nos autres algorithmes de regroupement, notamment les règles de corrélation des alertes, la CMDB, ML et le regroupement basé sur du texte. Les alertes sont regroupées avec leur première correspondance, et vous pouvez contrôler l’ordre de priorité de ces algorithmes via la propriété système. Pour plus d’informations sur l’ordre logique de corrélation, reportez-vous à la section Configurer l’ordre logique de corrélation des alertes.

    Alert Automation fournit également une fonctionnalité de simulation vous permettant de tester le nombre de groupes d’alertes formés, le nombre de groupes non groupés et le taux de compression. Un taux de compression plus élevé signifie que votre équipe sera plus productive et pourra peut-être identifier plus rapidement les causes premières. Cependant, demandez-vous si les groupes sont précis, corrects sur le plan opérationnel et affectés aux bonnes équipes. Vous pouvez ajuster les critères de groupe jusqu’à ce que vous soyez satisfait des groupes résultants.

    Pour les utilisateurs familiarisés avec l’expérience classique Gestion des événements , cette fonctionnalité offre une interface simplifiée avec une meilleure prise en charge de l’équipe pour la création de définitions de regroupement d’alertes basées sur les balises.

    Procédure

    1. Accédez à Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans la navigation primaire, sélectionnez l’icône d’automatisation des alertes ( icône d’automatisation des alertes).
    3. Sur la page Automatisation des alertes, sous Types d’automatisations, sélectionnez Groupe.
      La page Alertes de groupe s’affiche.
      La page Alertes de groupe s’ouvre.
    4. Sélectionnez Créer une automatisation.
      La page Alertes de groupe s’ouvre.
    5. Dans le champ Nom de l’automatisation , saisissez le nom de l’automatisation pour le regroupement des alertes.
    6. Activez l’automatisation en sélectionnant la case à cocher Actif .
    7. Dans la section Si ces conditions sont remplies , configurez des critères de filtre pour identifier les alertes que vous souhaitez regrouper.
      Conditions d’alertes de groupe.
      1. Dans le menu du champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer les alertes de l’équipe qui déclencheront l’automatisation.

        Le groupe d’affectation désigne une équipe spécifique responsable du traitement de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle d’administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur, seul le groupe dont vous faites partie est disponible.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ajoutez ensuite d’autres conditions à l’aide des opérateurs OR ou ET. Vous devez ajouter au moins un filtre supplémentaire en plus du groupe d’affectation.
        Conseil :
        Sélectionnez un filtre plus spécifique pour améliorer les performances.

        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.

    8. Dans la section Ensuite, regrouper les alertes par les critères suivants , procédez comme suit.
      Critère de regroupement d’alertes
      1. Dans le champ Délai de regroupement , spécifiez la durée (en minutes) pendant laquelle les alertes doivent être collectées et regroupées.
      2. Dans le menu Champ Source , sélectionnez la source à partir de laquelle vous souhaitez que les alertes soient regroupées.
        Remarque :
        Vous pouvez ajouter manuellement un nom de champ et sélectionner le type de champ. Les options disponibles incluent le champ d’informations supplémentaires, la balise d’alerte et la balise CI. Cette flexibilité vous permet de personnaliser les informations capturées en fonction de vos besoins spécifiques.
      3. Dans le champ Méthode de correspondance pour le regroupement , sélectionnez l’une des options suivantes : regrouper les alertes en fonction d’une correspondance exacte, d’une correspondance floue ou d’une correspondance de modèle.

        Lorsque vous sélectionnez une valeur pour la méthode de correspondance floue dans le champ de regroupement, le champ Seuil de similarité (pourcentage) devient visible. Les alertes sont regroupées lorsque leur similarité est supérieure ou égale au pourcentage spécifié en fonction de la distance de modification.

        Par exemple, si vous avez des alertes provenant des États-Unis, de l’Californie et des États-Unis, NY, et que vous souhaitez regrouper les alertes par pays, vous devez définir le champ Source sur États-Unis. Si la méthode de correspondance pour le regroupement est une correspondance floue et que le seuil de similarité (pourcentage) est de 50 %, les alertes sont regroupées si elles sont similaires à au moins 50 %, ce qui signifie qu’elles partagent le pays « États-Unis » comme attribut commun.

      4. Lorsque vous sélectionnez une valeur pour la méthode de correspondance de modèle dans le champ de regroupement, le champ de correspondance de modèle devient visible. Les alertes sont regroupées lorsque le modèle spécifié correspond. Pour plus d'informations, consultez Pattern matching.

        Utilisez des astérisques (*) dans la chaîne de recherche pour faire correspondre n’importe quel nombre de caractères ou un point d’interrogation ( ?) pour correspondre à n’importe quel caractère unique. Tout le reste de la chaîne de recherche correspond à lui-même. Par exemple, utilisez "HTTP Error 5 ?? » pour correspondre à toutes les erreurs HTTP 500.

        Pour inclure des champs supplémentaires pour le regroupement, sélectionnez + Ajouter des critères.

    9. Dans la section Détails de l’automatisation , fournissez une description de l’ordre et de l’automatisation.
      Détails de l’automatisation du regroupement d’alertes
      1. Dans le champ Commande , saisissez l’ordre d’automatisation.
        Remarque :
        Les alertes sont regroupées en fonction de la première correspondance, exécutées dans l’ordre, du nombre le plus bas au nombre le plus élevé. Le champ L’automatisation est gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .
      2. Dans le champ Description de l’automatisation , saisissez une brève description de l’automatisation.
    10. Pour tester si le regroupement d’alertes fonctionne correctement, accédez à Tester cette automatisation sur des alertes passées, sélectionnez la période de la simulation dans la liste déroulante, indiquez si vous souhaitez prendre en compte d’autres types de regroupement, puis sélectionnez Tester l’automatisation.
      Remarque :
      Dans le menu Prendre en compte d’autres types de groupe, vous pouvez sélectionner Cette automatisation uniquement ou Prendre en compte d’autres types de groupe. Sélection de Cette automatisation ignore uniquement les autres types de groupes d’alertes, tandis que le choix Prendre en compte d’autres types de groupes inclut toutes les automatisations de regroupement d’alertes, telles que le regroupement d’alertes basé sur les balises, automatisé, basé sur le texte et basé sur CMDB.

      Pendant la simulation, il affiche à la fois les alertes groupées et les alertes dissociées pour la période spécifiée. Si des alertes sont regroupées, le nombre d’alertes regroupées s’affiche. Vous pouvez sélectionner ce numéro pour afficher les alertes groupées. En outre, la sélection d’une alerte individuelle affiche les détails de cette alerte spécifique. Vous pouvez également modifier les conditions de regroupement d’alertes ou les valeurs de champ et relancer le processus en sélectionnant Réexécuter le test.

      Section d’automatisation des tests

      L’en-tête de la section Automatisation des tests affiche également les éléments suivants : alertes correspondantes, groupes d’alertes, alertes dissociées et compression.
      • Alertes correspondantes : le nombre total d’alertes correspondantes avant le regroupement qui correspondent aux conditions définies pour cette automatisation.
      • Groupes d’alertes : nombre de groupes contenant plusieurs alertes correspondant aux conditions d’automatisation. Le plus petit nombre entre parenthèses représente le nombre de groupes créés par cette automatisation.
      • Dégroupées : nombre d’alertes correspondant aux conditions d’automatisation qui restent non groupées.
      • Compression : réduction en pourcentage du nombre total d’alertes obtenue par regroupement, calculée comme suit : 1 - (Groupes d’alertes + non groupées)/Total des alertes. Vous pouvez améliorer le taux de compression en regroupant vos alertes par problèmes connexes. Le plus petit nombre entre parenthèses indique le pourcentage d’alertes correspondantes compressées par cette automatisation.

      La section Automatisation des tests affiche trois colonnes clés : Description, Type et Heure. La colonne Description décrit les détails du groupe d’alertes. Avant la colonne Description , un nombre indique le nombre total d’alertes contenues dans ce groupe. Type spécifie la catégorie de regroupement, telle que Cette automatisation de regroupement, Autre automatisation de regroupement, Groupe CMDB ou Alerte unique, entre autres. Sélectionner une autre automatisation de regroupement vous dirige vers la page d’automatisation correspondante qui a généré le groupe. En outre, la colonne Heure indique quand le test a été effectué.

      Important :
      Vous pouvez exécuter la simulation d’alertes sur votre instance de test ainsi que sur votre instance de production. L’automatisation des tests simule l’automatisation en utilisant jusqu’à 200 alertes récentes qui correspondent aux conditions spécifiées. Elle ne prend en compte que les groupes pour lesquels toutes les alertes remplissent les conditions de cette automatisation, bien que des algorithmes de regroupement supplémentaires puissent être appliqués pendant l’exécution réelle.
    11. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est enregistrée avec succès. Sinon, un message d’erreur s’affiche. L’automatisation de groupe que vous avez créée apparaît sur la page Alertes de groupe où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez escalader les alertes nécessitant une réponse plus rapide des équipes ou des individus en implémentant l’automatisation des réponses.