アラートを解決するためのアラート管理ルール

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • アラートに自動応答するように イベント管理 を設定できます。アラート管理ルールは、必要なアラート応答を決定します。応答には、インシデントやナレッジベース記事を開く、タスクを開く、修復アクションを開始するなどが含まれます。

    ベースシステム でストアアプリケーション (アラートルール管理 [sn_em_arm]) として提供されるアラート管理ルールは、アラートへの対応に役立ちます。フィルターを作成してルールの条件を指定することで、その条件が満たされた場合にのみ、ルールに指定された修復アクションが実施されるようにできます。たとえば、アラートに基づいて必要なサブフローを開始したり、インシデントを開いたりできます。アラートの実行履歴は、呼び出されたアクションを示すために自動更新されます。

    evt_mgmt_admin ロールを持つユーザーは、アラート管理ルールデザイナーを使用して、指定されたアラートに対して実行できるアラート管理ルールを作成してカスタマイズできます。このルールの適用対象のアラートを決定するフィルターのルールを定義します。アプリケーション、URL、サブフロー、修正アクションを起動したり、インシデントを開くなどの他のアクションを実行したりするためのルールを作成できます。詳細については、「アラート管理ルールの作成」を参照してください。

    evt_mgmt_operator ロールを持つユーザーは、手動でアラート管理ルールを実行できます。

    アラート管理ルールのフロー

    アラート管理ルールを作成および実行するためのフローを次に示します。

    アラート管理ワークフロー

    表 : 1. アラート管理ルールのコンポーネント
    コンポーネント 説明
    アラート情報 ルールの名前と一般情報を設定します。
    アラートフィルター このルールの適用対象のアラートを決定するフィルターを指定します。関連リスト条件を指定できます。
    アクション アラートへの応答を指定します。たとえば、サブフローの実行、修正アクションの実行、アプリケーションの起動、ブラウザーでの URL の起動などが含まれます。

    更新されたアラートにルールを適用する方法

    アラート管理ルールは、更新されたすべてのオープンアラートに対して実行されます。クローズ済みアラートでは、ルールは更新されていても実行されません。フィルターは、ルールのアクションがアラートに適用されるかどうかを決定します。たとえば、アラートの重大度が [大 (Major)] に変更された際にメールメッセージが送信されることをルールの条件が示している場合、そのルールは重大度が [警告 (Warning)] から [大 (Major)] に更新されたアラートに適用されます。

    フィルターとその他のアクションの使用

    フィルターを使用すると、アラートの更新ごとにではなく、構成された条件の発生時にのみルールが呼び出されます。たとえば、関連しない更新 ([作業メモ] フィールドの更新など) ではルールが実行されないようにするルールを設定できます。もう 1 つの例として、アラートの重大度が最重要である場合にのみアラート管理ルールが実行されるように、フィルター条件を指定できます。

    次のアクションを実行できます。

    • このルールの適用対象アラートを決定するフィルターを指定します。
    • フォームの [関連リスト条件] セクションで、Alert > Parent 関係などの関係を持つ追加条件を設定して、本日受信したすべてのアラートをフィルタリングします。
    • アラートに応答する。たとえば、サブフローとワークフローを使用して、重大度が「重大」のプライマリアラートのインシデントを作成したり、ブラウザーで検索エンジンを開いてアラートの説明フィールドに従ってデータを検索したりします。
    • 修復を適用する。修復は、システム情報の収集やサーバーの再起動などの修復タスクを実行するためにスクリプト化できるオーケストレーションワークフローに基づきます。
      注:
      Event Management - Evaluate Scoped Alert Rules Management のスケジュール済みジョブのパフォーマンスを向上させるために、ワークフローの代わりにサブフローを使用します。

    アラート管理ルールをチェックするスケジュール済みジョブ

    アラート管理ルールは、デフォルトの Event Management - Evaluate Scoped Alert Rules Management0 スケジュール済みジョブによって 11 秒ごとにチェックされます。次に、ジョブが必要なアクションを実行します。大規模な環境では、複数のジョブを追加できます。カスタマーサービス & サポートにお問い合わせください。
    注:
    Vancouver 以降の新規ユーザーのみが、Event Management - Evaluate Scoped Alert Rules Management0Event Management - Evaluate Scoped Alert Rules Management1 の 2 つのスケジュール済みジョブを取得します。以前のファミリリリースからアップグレードしたユーザーには、単一のスケジュール済みジョブ Event Management - Evaluate Scoped Alert Rules Management0 が引き続き提供されます。

    sn_em_arm.alert_management.num_of_jobs プロパティは変更しないでください。

    デフォルトでは、アラートのグループ化ジョブ ([RCA/アラートアグリゲーションを使用したサービスアナリティクスグループアラート]) とアラート管理ジョブ ([イベント管理 - スコープ対象のアラートルール管理の評価]) は、互いに独立して実行されます。アラート応答と自動アラートグループ化の調整の詳細については、「アラート応答と自動アラートグループ化の同期」を参照してください。

    既存のアラートアクションルールの移行

    以前のリリースからの既存のアラートアクションルールを移行して、アラート管理ルールにすることができます。アラートアクションルールは、アラート管理ルールに移行した後にのみ変更できます。詳細については、「アラート管理ルールへのアラートアクションルールの移行」を参照してください。