テキストベースのアラートのグループ化
テキストベースのアラートグループ化では、EM Alert Clustering ソリューションは、[説明 (Description)] フィールド、[測定基準名 (Metric name)] フィールド、および [構成アイテムクラス (Configuration item.Class)] フィールドに基づいてクラスターを形成します。このソリューションを使用すると、テキストベースのグループが作成されます。新しいアラートが到着すると、ML 予測によってそのアラートが属するクラスターが特定され、同じクラスター内のアラートがグループを形成します。
ML 予測ジョブは非同期で、リアルタイムアラートをクラスターにアサインします。アラートのグループ化ジョブは 1 分に 1 回実行されるため、予測結果の受信にわずかな遅延が発生し、テキストベースのグループの作成が数分遅れる可能性があります。現在の実行中に予測結果の準備ができていない場合は、グループ化ジョブの次の実行時に再チェックされます。
テキストベースのロジックを実行するには、予測インテリジェンス プラグインがインストールされ、EM Alert Clustering ソリューション定義がアクティブ化されている必要があります。テキストベースのしきい値は次のとおりです。
- クラスター品質しきい値:sa_analytics.alert_grouping_tb_cluster_quality_threshold、デフォルトは 70 です。
- アラートランクしきい値:sa_analytics.alert_grouping_tb_alert_rank_threshold、デフォルトは 0.3 です (値が小さいほど良い)。
注:
これらのプロパティを使用するには、同じ名前のプロパティを作成し、必要な値をアサインする必要があります。プロパティの作成方法の詳細については、「Add a system property」を参照してください。
EM Alert Clustering ソリューション定義は、ml_capability_definition_clustering テーブルにあります。アクセスするには、次の場所に移動します。 .
ソリューション定義がアクティブかどうかを確認するには、「テキストベースのクラスタリングソリューションの確認」を参照してください。
注:
EM Alert Clustering ソリューション定義を無効にするには、プロパティ sa_analytics.text_based_group_enabled を false に設定し、EM Alert Clustering ソリューション定義の [アクティブ] チェックボックスをオフにして、テキストベースのアラートグループ化を無効にします。