アラート相関ルールフォーム

  • リリースバージョン: Xanadu
  • 更新日 2024年08月12日
  • 所要時間:4分

    • アラートを関連付けてグループ化する方法を定義するフィールドを管理します。

    表 : 1. アラート相関ルールフォーム
    Field (フィールド) 説明
    名前 相関ルールの名前。
    順序 ルールの評価優先度。数値が小さいルールほど優先度が高くなります。一致が見つかるまで、各アラートアクションルールに対してアラートが評価されます。

    たとえば、優先度がそれぞれ 10 と 20 の 2 つのアラート相関ルールがある場合、優先度 10 のルールが最初に評価されます。アラートが優先度 10 のルールの条件に一致する場合、それ以降のルールはチェックされません。一致しない場合、アラートは優先度 20 のルールに照らして評価されます。
    アクティブ ルールをアクティブ化または非アクティブ化するオプション。
    詳細 詳細モードに切り替えるオプションです。これにより、カスタムスクリプトを使用して独自のロジックを定義できます。サンプル相関ルールである アラート相関ルール SAMPLE は、参照用にすぐに利用できます。利用可能なスクリプトをガイドとして使用できます。
    注:
    フィルター条件では、ルールが適用されるアラートを指定します。詳細スクリプトで同じ条件を使用して、グループに含めるアラートを識別していることを確認します。
    Description (説明) ルールの説明。
    プライマリアラート 一連の関連アラートにおいて、プライマリアラート (最も重要なアラート) であるアラートを特定するためのフィルター条件。

    [詳細] が選択されている場合、このフィールドは表示されません。
    セカンダリアラート プライマリアラートに関連しているけれども重要度が低いアラートを特定するためのフィルター条件。

    [詳細] が選択されている場合、このフィールドは表示されません。
    フィルター スクリプトが実行されるアラートを特定するためのフィルター条件。

    [フィルター]は、[詳細] が選択されている場合にのみ使用できます。

    フィルターパラメーターは、デフォルトで大文字と小文字を区別します。大文字と小文字の区別を無効にするには、sa_analytics.correlation_case_sensitive パラメーターを [false] に設定します。
    関係性タイプ プライマリアラートとセカンダリアラートの関係性のタイプを指定します。
    • 関係性なし:一致を検索するときに関係性を無視します。
    • 同じ CI またはノード:同じ CI に両方のアラートを関連付けます。CI フィールドが空白の場合、アラートのノード値は同じである必要があります。
    • プライマリは親:CI 関係タイプテーブル [cmdb_rel_ci] の説明に従って、プライマリアラートが親子関係の親であるアラートを関連付けます。
    • プライマリは子:CI 関係テーブル [cmdb_rel_ci] の説明に従って、プライマリアラートが子親関係の子であるアラートを関連付けます。

    このフィールドは、[ 詳細 ] チェックボックスがオンになっている場合は表示されません。
    時間差 (分) このルールを照合するためのプライマリイベントとセカンダリイベントの発生間隔 (分)。デフォルト値は 60 分です。
    注:
    このエントリーの値は 1440 分 (1 日) を超えることはできません。

    [詳細] が選択されている場合、このフィールドは表示されません。
    スクリプト プライマリアラートとセカンダリアラートを指定する JSON 文字列を返すように変更できるカスタムスクリプト。

    [スクリプト] フィールドを表示するには、[詳細] を選択します。

    
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
    関係 プライマリとセカンダリ間の CI 関係性の説明。たとえば、Allocated from::Allocated to または Allocated to::Allocated from

    このフィールドは、[プライマリは親] または [プライマリは子] のいずれかが [関係性タイプ] で選択されている場合にのみ表示されます。

    関係性

    [詳細] が選択されている場合、このフィールドは表示されません。