Créer une automatisation Enrichir

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 7 minutes de lecture

    • L’enrichissement des alertes implique la transformation des événements bruts des outils de surveillance en un format standard, ce qui facilite le regroupement et la réponse automatisés. Cela inclut l’extraction de champs à partir de longues charges utiles d’alerte ou leur composition dans un format standardisé. En outre, vous pouvez créer des balises, qui sont des métadonnées ajoutées aux alertes pour faciliter le filtrage et le regroupement.

    Avant de commencer

    Rôle requis : evt_mgmt_admin, evt_team_operator ou srm_responder

    Pourquoi et quand exécuter cette tâche

    L’extraction prend des valeurs de champs de charge utile d’événement et les place dans des champs de sortie d’alerte, tandis que la composition combine plusieurs champs d’alerte en un seul. Pour plus d'informations, consultez Extraction et composition de champs d’alerte.

    Pour les utilisateurs familiers avec l’expérience classique Gestion des événements , les automatisations d’enrichissement créent des règles d’événement, mais avec une interface simplifiée et une meilleure prise en charge des équipes. Les règles d’événements offrent quelques fonctionnalités avancées telles que les seuils et l’identification de CI à l’aide d’IRE qui ne sont pas encore disponibles dans les automatisations d’enrichissement. Les administrateurs peuvent également enrichir les alertes avec des règles de mappage de champs d’événements. La modification des valeurs d’alerte crée une règle de mappage de champ d’événement avec le type de mappage Mapper le champ et la valeur de transformation (champ unique). Cette règle est liée à la règle d’événement et s’exécute simultanément, ce qui permet de rationaliser le mappage et la transformation des données d’événement pour enrichir les alertes.

    Procédure

    1. Accédez à Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans la navigation primaire, sélectionnez l’icône d’automatisation des alertes ( icône d’automatisation des alertes).
    3. Sur la page Automatisation des alertes, sous Types d’automatisations, sélectionnez Enrichir.
      La page Enrichir les alertes s’affiche.
      Enrichir la page d'automatisation
    4. Sélectionnez Créer une automatisation.
    5. Dans le champ Nom de l’automatisation , saisissez le nom de l’automatisation pour enrichir les alertes.
      Page de règle d’enrichissement dans laquelle vous pouvez fournir le nom de l’automatisation, définir les conditions et les actions.
    6. Activez l’automatisation en sélectionnant la case à cocher Actif .
    7. Pour continuer à exécuter d’autres automatisations d’enrichissement avec les mêmes conditions de filtre après l’exécution de cette automatisation, activez le commutateur Continuer l’exécution des automatisations de ce type .
      Lorsqu’elle est désactivée, les automatisations supplémentaires de ce type cesseront de s’exécuter après que cette automatisation aura été exécutée une fois. Si l’automatisation est gérée par un administrateur, elle cessera d’exécuter les automatisations appartenant à l’administrateur, mais continuera d’exécuter des automatisations appartenant à d’autres groupes d’affectation.
    8. Dans la section Si ces conditions sont remplies , configurez des critères de filtre pour identifier les alertes que vous souhaitez enrichir.

      La condition est évaluée par rapport à l’événement brut reçu du système de surveillance de la source et ne tient pas compte des champs enrichis.

      1. Dans le menu du champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer les alertes de l’équipe qui déclencheront l’automatisation.

        Le groupe d’affectation désigne une équipe spécifique responsable du traitement de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle d’administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur, seul le groupe dont vous faites partie est disponible.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Dans le menu Champ source , sélectionnez l’outil de surveillance à partir duquel l’alerte est générée.
      3. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ajoutez ensuite d’autres conditions à l’aide des opérateurs OR ou ET.

        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.

    9. Dans la section Appliquer les actions suivantes , sélectionnez les actions d’automatisation qui seront déclenchées par cette automatisation.
      Vous devez sélectionner au moins une action.
      • Extraire des champs d’alerte : récupère les valeurs des champs d’alerte à partir de la charge utile de l’événement et les place dans un champ de sortie d’alerte.
      • Copier ou composer des champs : fusionne divers champs d’alerte, balises et textes pour générer une sortie d’alerte composée.
      • Modifier les valeurs d’alerte : mappe la valeur actuelle des champs d’alerte à de nouvelles valeurs spécifiées.
      OptionAction
      Extraire des champs d'alertes
      1. Activez le commutateur Extraire les champs d’alerte .
      2. Dans le menu du champ d’entrée source , sélectionnez une valeur. Le menu affiche les champs d’événement standard, des informations supplémentaires et des balises. La valeur du champ s’affiche alors. Vous pouvez également entrer manuellement un nom de champ qui n’est pas affiché et ajouter votre propre valeur.

        L’exemple du volet des événements sources affiche un échantillon des événements récents dans votre système. Si aucun événement n’est affiché, vous pouvez créer un événement, reportez-vous à la section Créer ou modifier une règle d’événement.

      3. Dans le champ Expression régulière , créez une expression régulière pour extraire la valeur que vous souhaitez extraire.
        Remarque :
        Vous pouvez composer du texte à l’aide des conventions de format d’expression régulière (regex). Utilisez un ou plusieurs groupes de capture entre parenthèses pour extraire des parties de l’entrée. Les groupes de capture de l’expression régulière sont affectés aux sorties d’alerte en fonction de l’ordre dans lequel elles apparaissent. La regex doit correspondre à l’intégralité de l’entrée, envisagez donc d’entourer votre regex de .* à chaque extrémité. Par exemple, (\w+).acme.com.* capture le nom d’hôte dans un nom de domaine complet. L’analyseur du moteur regex est compatible avec les expressions régulières compatibles Perl (PCRE). Les données JSON imbriquées sont prétraitées pour supprimer les guillemets et remplacer les deux-points par des signes égaux.

      4. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte. Vous pouvez également entrer manuellement un nouveau nom de champ.

        Si vous souhaitez ajouter une balise d’alerte, cochez la case Définir en tant que balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Extraire des champs d'alertes
      5. Sélectionnez Prévisualiser plusieurs événements pour vérifier que l’expression régulière (regex) est suffisamment polyvalente pour extraire correctement les valeurs dans de nombreux exemples.
        Remarque :
        Cette option n’est disponible que lorsque des exemples d’événements sources sont disponibles et mis en correspondance avec le filtre regex.
        Prévisualiser les valeurs extraites de plusieurs événements

      Pour inclure des champs supplémentaires pour l’extraction, sélectionnez + Ajouter des champs.
      Copier ou composer des champs
      1. Activez le bouton bascule Copier ou composer les champs .
      2. Dans le menu Champ d’entrée source , sélectionnez des champs d’alerte et/ou des balises d’alerte, saisissez manuellement un nom de champ ou même ajoutez du texte libre. Les champs d’alerte sont affichés au format de syntaxe ${field} .
      3. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte existant, ou saisissez manuellement un champ d’alerte. Le champ Sortie d’alerte est une alerte enrichie contenant les données d’alerte composées.
        Pour faciliter le regroupement, vous pouvez sélectionner une balise dans le menu. Si vous souhaitez utiliser le nouveau nom de champ comme balise pour le regroupement, cochez la case Définir en tant que balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Composer des champs d’alerte

      Pour créer des compositions de données d’alerte supplémentaires, sélectionnez + Ajouter des champs.
      Changer les valeurs de l'alerte
      1. Activez le commutateur Valeurs d’alerte de changement .
      2. Dans Champ Alerte, saisissez le champ de l’alerte pour lequel vous souhaitez mapper les valeurs.
      3. Dans le champ Valeur De , entrez la valeur d’origine dans le champ d’alerte que vous souhaitez modifier.
      4. Dans le champ Valeur À , entrez la nouvelle valeur qui remplacera la valeur d’origine dans le champ d’alerte.

        Pour ajouter d’autres valeurs de champ, sélectionnez + Ajouter une valeur . Pour ajouter d’autres champs à mapper, sélectionnez + Ajouter un champ à mapper.
    10. Dans la section Et enfin , pour continuer à exécuter d’autres automatisations d’enrichissement avec les mêmes conditions de filtre après l’exécution de cette automatisation, sélectionnez Exécuter d’autres automatisations d’alerte d’enrichissement.
      Si vous sélectionnez Ne pas exécuter d’autres automatisations d’alerte d’enrichissement, les automatisations supplémentaires de ce type cesseront de s’exécuter après l’exécution unique de cette automatisation. Si l’automatisation est gérée par un administrateur, elle cessera d’exécuter les automatisations appartenant à l’administrateur, mais continuera d’exécuter des automatisations appartenant à d’autres groupes d’affectation.
    11. Dans la section Détails de l’automatisation , fournissez une description de l’ordre et de l’automatisation.
      Enrichir la section des détails de l’automatisation
      1. Dans le champ Commande , saisissez l’ordre d’automatisation.
        Remarque :
        Les automatisations s’exécutent dans l’ordre, de la plus basse à la plus élevée. Assurez-vous qu’il n’y a pas d’automatisations d’enrichissement avec un numéro d’ordre inférieur qui ont des conditions correspondantes et dont Appliquer des automatisations supplémentaires de ce type est défini sur faux. Sinon, cela peut empêcher l’exécution des automatisations suivantes.

        Le champ L’automatisation est gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .

      2. Dans le champ Description de l’automatisation , saisissez une brève description de l’automatisation.
    12. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est enregistrée avec succès. Sinon, un message d’erreur s’affiche. L’automatisation d’enrichissement que vous avez créée apparaît sur la page Enrichir les alertes où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez gérer les alertes plus efficacement en regroupant des alertes similaires à l’aide de Créer une automatisation de groupe.