拡張自動化の作成

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:9分

    • アラートの拡張は、監視ツールからの生のイベントを標準形式に変換して、自動グループ化と自動応答をサポートします。これには、長いアラートペイロードからのフィールドの抽出や、標準化された形式への変換が含まれます。また、タグを作成することもできます。タグは、フィルタリングとグループ化を容易にするためにアラートに追加されるメタデータです。

    始める前に

    必要なロール:evt_mgmt_admin または srm_responder

    このタスクについて

    抽出では、イベントペイロードフィールドから値を取得して、アラート出力フィールドに入力します。作成では、複数のアラートフィールドを 1 つにまとめます。詳細については、「アラートフィールドの抽出と作成」を参照してください。

    従来の イベント管理 エクスペリエンスに慣れているユーザー向けに、拡張自動化では、より使いやすいインターフェイスが採用され、イベントルールの変換ステップと作成ステップに関するチームサポートが強化されています。イベントルールには、バインディングの上書きなど、現在、アドミンのみが利用できる、より高度な機能が用意されています。アドミンは、イベントフィールドマッピングルールを使用してアラートを強化することもできます。

    手順

    1. 移動先 ワークスペース > サービスオペレーションワークスペース.
    2. プライマリナビゲーションで、[アラート自動化] アイコン ([アラート自動化] アイコン) を選択します。
    3. [アラートの自動化 (Alert automation)] ページの [自動化の種類 (Automation types)] で、[拡張] を選択します。
      [アラートを拡張 (Enrich alerts)] ページが表示されます。
      自動化ページを拡張
    4. [自動化を作成 (Create automation)] を選択します。
    5. [自動化名 (Automation name)] フィールドに、アラートを拡張するための自動化名を入力します。
      自動化名を指定し、条件とアクションを設定できる [ルールの拡張 (Enrich rule)] ページ。
    6. [アクティブ (Active)] 切り替えスイッチを有効にして、自動化を有効にします。
    7. この自動化を実行した後に、同じフィルター条件で他の拡張自動化の実行を続行するには、[このタイプの自動化の実行を続行します (Continue running automations of this type)] 切り替えスイッチを有効にします。
      無効にすると、このタイプの追加の自動化は、自動化を 1 回実行した後、実行を停止します。アドミニストレーターが自動化を管理している場合、アドミニストレーターが管理している自動化の実行は停止されますが、他のアサイン先グループが管理している自動化は引き続き実行されます。
    8. [これらの条件が満たされている場合 (If these conditions are met)] セクションで、拡張するアラートを識別するためのフィルター基準を設定します。

      フィルター基準は、ソース監視システムから受信した生のイベントに対して評価され、拡張フィールドは考慮されません。

      1. [アサイン先グループ] フィールドメニューからアサイン先グループを選択して、どのチームのアラートが自動化をトリガーするかを決定します。

        [アサイン先グループ] は、特定のアラートの処理を担当する特定のチームを表します。アサイン先グループを選択することで、その特定のチームにアサインされたアラートのみが自動化をトリガーするようにします。この方法により自動化は、選択したチームに関連付けられている関連アラートが対象となり、これらの関連アラートに対してのみアクティブ化されます。

        注:
        • アドミニストレーターロール (evt_mgmt_admin) でインスタンスにログインしている場合は、すべてのアサイン先グループが利用可能です。さらに、[すべてのグループ] を選択して、利用可能な任意のグループのアラートの生成を有効にできます。
        • オペレーターの場合は、自分が属しているグループのみを利用できます。
        • 選択したグループのメンバーまたはアドミニストレーターのみが、自動化を更新または削除できます。
      2. [ソース] フィールドメニューから、アラートが生成される監視ツールを選択します。
      3. フィールド、演算子、およびフィールド値を選択して、条件を設定します。次に、OR または AND 演算子を使用してさらに条件を追加します。

        別の条件セットを追加するには、[+ 新しい条件セット] を選択します。ドロップダウンリストに表示されていない場合は、追加情報フィールドを手動で追加することもできます。

    9. [次に、以下のアクションを適用します (Then, apply the following actions)] セクションで、この自動化によってトリガーされる自動化アクションを選択します。
      少なくとも 1 つのアクションを選択する必要があります。
      • アラートフィールドを抽出 (Extract alert fields):イベントペイロードからアラートフィールドの値を取得し、アラート出力フィールドに入力します。
      • フィールドのコピーまたは作成 (Copy or compose fields):さまざまなアラートフィールド、タグ、およびテキストを結合して、作成済みのアラート出力を生成します。
      • マップの値 (Map values):アラートフィールドの現在の値を、指定された新しい値にマップします。
      オプションアクション
      アラートフィールドを抽出 (Extract alert fields)
      1. [アラートフィールドを抽出 (Extract alert fields)] 切り替えスイッチを有効にします。
      2. [ソース入力フィールド (Source input field)] メニューから、値を選択します。メニューには、標準のイベントフィールド、追加情報、およびタグが表示されます。フィールド値が表示されます。表示されていないフィールド名を手動で入力し、独自の値を追加することもできます。

        [ソースイベントの例 (example source events)] ペインには、システム内の最近のイベントのサンプルが表示されます。イベントが表示されない場合は、イベントを作成できます。「イベントルールの作成または編集」を参照してください。

      3. [正規表現 (Regular expression)] フィールドで、抽出する値を抽出する正規表現を作成します。
        注:
        テキストを作成するには、正規表現 (regex) 形式の表記規則を使用します。1 つ以上のキャプチャグループを括弧とともに使用して、入力の一部を抽出します。正規表現のキャプチャ グループは、表示される順序に基づいてアラート出力に割り当てられます。正規表現は入力全体と一致する必要があるため、正規表現の各末尾を「.*」で囲むことを検討してください。たとえば、「(\w+).acme.com.*」は、完全修飾ドメイン名でホスト名をキャプチャします。正規表現エンジンのパーサーは、Perl Compatible Regular Expressions (PCRE) と互換性があります。

      4. [アラート出力 (Alert output)] フィールドで、アラートフィールドまたはアラートタグを選択します。新しいフィールド名を手動で入力することもできます。

        アラートタグを追加する場合は、[タグとして設定 (Set as a tag)] チェックボックスをオンにします。
        ヒント:
        すぐに利用可能なタグなど、ソース間で共有してフィルタリングとグループ化を容易にするアラートタグを作成します。
        アラートフィールドの抽出
      5. [複数のイベントのプレビュー (Preview multiple events)] を選択して、正規表現 (regex) が、多くの例で値を正しく抽出するのに十分な汎用性を備えていることを確認します。
        注:
        このオプションは、サンプルのソースイベントが利用可能で、正規表現フィルターと一致する場合にのみ使用できます。
        複数のイベントから抽出された値をプレビュー

      抽出に追加フィールドを含めるには、[+ フィールドを追加 (+ Add fields)] を選択します。
      フィールドのコピーまたは作成
      1. [フィールドのコピーまたは作成 (Copy or compose fields)] 切り替えスイッチを有効にします。
      2. [ソース入力フィールド (Source input field)] メニューから、アラートフィールドおよび/またはアラートタグを選択するか、フィールド名を手動で入力するか、フリーテキストを追加することができます。アラートフィールドは、${field} 構文形式で表示されます。
      3. [アラート出力 (Alert output)] フィールドで、既存のアラートフィールドまたはアラートタグを選択するか、アラートフィールドを手動で入力します。[アラート出力 (Alert output)] フィールドは、作成されたアラートデータを含む拡張アラートです。
        メニューからタグを選択して、簡単にグループ化できます。新しいフィールド名をグループ化のタグとして使用する場合は、[タグとして設定 (Set as a tag)] チェックボックスをオンにします。
        ヒント:
        すぐに利用可能なタグなど、ソース間で共有してフィルタリングとグループ化を容易にするアラートタグを作成します。
        アラートフィールドを作成 (Compose alert fields)

      追加のアラートデータ構成を作成するには、[+ フィールドを追加 (+ Add fields)] を選択します。
      マップの値
      1. [値をマップ (Map value)] 切り替えスイッチを有効にします。
      2. [アラートフィールド] に、値をマップするアラートのフィールドを入力します。
      3. [開始値 (From value)] フィールドで、変更するアラートフィールドに元の値を入力します。
      4. [終了値 (To value)] フィールドに、アラートフィールドの元の値を置き換える新しい値を入力します。

        フィールド値を追加するには、[+ 値を追加 (+ Add value)] を選択し、マップにフィールドを追加するには、[+ マップにフィールドを追加 (+ Add field to map)] を選択します。
    10. [自動化の詳細 (Automation details)] セクションで、順序と自動化の説明を入力します。
      [自動化の詳細を拡張 (Enrich automation details)] セクション
      1. [順序] フィールドに、自動化の順序を入力します。
        注:
        自動化は、最も小さい数値から最も大きい数値の順に実行されます。条件に一致する小さい順番の拡張自動化がなく、[このタイプの追加の自動化を適用 (Apply additional automations of this type)] が false に設定されていることを確認します。設定されていないと、後続の自動化が実行されない可能性があります。

        [自動化の管理担当者 (Automation is managed by)] フィールドには、この自動化を所有、編集し、削除できるチームまたはアサイン先グループが表示されます。アサイン先グループは、[これらの条件が満たされている場合 (If these conditions are met)] セクションで定義されたものと同じです。

      2. [自動化の説明 (Automation description)] フィールドに、自動化の簡単な説明を入力します。
    11. [自動化を保存 (Save automation)] を選択します。
      自動化が正常に保存されると、通知が表示されます。そうでない場合は、エラーメッセージが表示されます。作成した拡張自動化は、既存の自動化を表示、編集、または削除できる [アラートの拡張 (Enrich alerts)] ページに表示されます。

    次のタスク

    グループ化の自動化の作成」を参考に類似のアラートをグループ化することで、アラートをより効果的に管理できます。