Travaux planifiés et paramètres pour le regroupement d’alertes

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Automatisez l’organisation des alertes en configurant des tâches pour regrouper les alertes en fonction de critères et de paramètres prédéfinis.

    Pour regrouper les alertes en groupes automatisés, CMDB, basés sur le texte, grappe de balises et corrélation de trafic réseau, la tâche planifiée nommée Analyse de services Alertes de groupe utilisant RCA/Agrégation d’alertes est généralement exécutée une fois par minute. Cette tâche gère le regroupement des alertes en fonction de la méthode spécifiée. En outre, vous pouvez exécuter plusieurs travaux planifiés en parallèle pour gérer plus efficacement le regroupement d’alertes. Pour plus de détails, reportez-vous à .Exécuter plusieurs travaux planifiés pour le regroupement d’alertes

    Pour définir les alertes regroupées, les paramètres suivants sont utilisés :
    • sa_analytics.aggregation_enabled: ce paramètre active le regroupement d’alertes créé par la tâche planifiée. Définissez la propriété Enable alert aggregation for Automated, CMDB, and Text-Based groups sur vrai pour activer cette fonctionnalité.
      Remarque :
      Cette propriété s’applique également au regroupement de grappes de balises et de corrélation du trafic réseau.
    • sa_analytics.agg.query_dynamic_window: par défaut, elle est définie sur 10 minutes (600 secondes). Il définit la différence de temps maximale autorisée entre les dernières heures de génération d’événements de deux alertes qui peuvent être regroupées.
    • sa_analytics.agg.query_max_group_lifetime: ce paramètre spécifie la période maximale entre la génération de la première alerte et la dernière alerte d’un groupe, avec une valeur par défaut de 30 minutes (1 800 secondes). Si les événements surviennent avec un retard dépassant cette période, le sa_analytics.agg.group_expiration_time paramètre peut être utilisé pour prolonger le temps de regroupement au-delà de 30 minutes.
    Remarque :
    Certains paramètres, tels que sa_analytics.agg.query_dynamic_window, sa_analytics.agg.query_max_group_lifetime et sa_analytics.agg.group_expiration_time, ne sont pas fournis prêts à l’emploi. Pour utiliser ces propriétés, vous devez créer des propriétés portant le même nom et leur affecter les valeurs requises. Pour plus d’informations sur la création d’une propriété, reportez-vous à la section Add a system property.

    Exemple : mode de regroupement des alertes

    Pour le regroupement balises-grappes, les alertes sont ajoutées à un groupe en fonction du paramètre de délai défini dans les paramètres de regroupement des balises d’alerte. Pour le regroupement automatisé du trafic réseau, basé sur la CMDB et le texte, les alertes sont regroupées comme suit.

    Prenez en compte les alertes suivantes avec le même CI. (Ils peuvent tous être ajoutés au même groupe CMDB).
    • Alerte 1 : génération de l’événement initial à 01:00:00 AM
    • Alert2 : génération de l’événement initial à 01:11:00
    • Alerte 3 : génération de l’événement initial à 01:13:00
    • Alerte4 : génération de l’événement initial à 01:16:00
    • Alerte5 : génération de l’événement initial à 01:25:00
    • Alert6 : génération de l’événement initial à 01:34:00
    • Alert7 : génération de l’événement initial à 01:43:00
    Alert1 et Alert2 ne sont pas groupées en raison de l’écart de temps supérieur à 10 minutes. Alert2 et Alert3 créent un groupe à 01:13:00. La fenêtre dynamique de 10 minutes commence à 01:13:00, avec ce qui suit :
    • L’alerte 4 est ajoutée au groupe à 01:16:00, redémarrant la fenêtre de 10 minutes.
    • L’alerte 5 et l’alerte 6 sont ajoutées au groupe, car leurs heures d’événement sont comprises dans la fenêtre de 10 minutes.
    • L’alerte 7 n’est pas ajoutée au groupe, car elle arrive 9 minutes après l’alerte 6, dépassant la sa_analytics.agg.query_max_group_lifetime limite de durée de vie maximale de 30 minutes du groupe à compter de la création initiale du groupe (01:13:00 + 30 minutes = 01:43:00).
    Remarque :
    Après la création d’une alerte, la logique de corrélation n’est appliquée qu’une seule fois. Les changements apportés à l’alerte après sa création ne sont pas réévalués à des fins de corrélation. Si la corrélation n’est pas établie initialement, l’alerte peut toujours être ajoutée à un groupe ultérieurement, mais uniquement si une nouvelle alerte entrante correspond et déclenche une logique de regroupement.