Agrupamento de alertas automatizado

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Gestão de eventos A agregação de alertas agrega alertas em grupos de alertas automatizados com base em dados históricos de alertas. Os grupos de alertas automatizados são exibidos na lista Expressa no Espaço de operações de serviços.

    Habilite a criação de grupos de alertas automatizados definindo a propriedade Habilitar agregação de alertas para grupos automatizados, CMDB e baseados em texto (sa_analytics.aggregation_enabled) como verdadeira.

    Se o Suporte de domínio - Instalador de extensões de domínio estiver ativado, os padrões de agregação de alertas serão criados de acordo com o nível de domínio especificado na propriedade sa_analytics.agg.learner_domain_level. Por padrão, o nível de domínio é definido como dois, que é o segundo nível de domínio na hierarquia de domínio. Consulte Separação de domínios e Gestão de eventos.

    Para criar grupos de alertas automatizados, os algoritmos de agregação dependem de alertas históricos com o mesmo identificador de alerta (IC e identificador de métrica) e que ocorreram várias vezes no mesmo intervalo de tempo.

    Sobre identificadores de padrão

    O identificador de padrão padrão é definido como Nome da métrica. No formulário Gerenciar identificador de padrão, você pode ver quais campos de alerta são usados atualmente para o identificador de padrão. Você pode escolher um conjunto diferente de campos de alerta para implantar ou definir um novo conjunto de campos para o identificador de padrão.
    Nota:
    Um conjunto de campos de alerta usado para o identificador de padrão também é conhecido como Atributos do identificador de recurso ou atributos.
    Para garantir que os campos de alerta especificados no identificador de padrão sejam eficazes, um número suficiente de alertas deve ter os respectivos campos preenchidos. Portanto, se você especificar um novo conjunto de campos de alerta no identificador de padrão, faça o seguinte para garantir uma análise significativa:
    • Crie uma regra de evento que preencha os respectivos campos de alerta.
    • Se um grande número de alertas existentes não tiver valores para o novo conjunto de campos de alerta usados no identificador de padrão, certifique-se de executar o trabalho Service Analytics Attribute Populator for Historical Alerts que usa a regra de evento apropriada para preencher os campos de alerta a partir de alertas históricos. As propriedades originadas do IC do CMDB usando referência com pontos não são preenchidas.
    • Escolha identificadores eficazes:
      • Certifique-se de que o conjunto de campos de alerta no identificador de padrão não seja exclusivo demais (por exemplo, o campo de data é exclusivo para cada alerta), pois é impossível identificar qualquer padrão.
      • Certifique-se de que o conjunto de campos de alerta no identificador de padrão não seja muito comum, pois não será possível criar grupos distintos, pois tudo será incluído no mesmo grupo.

    Quando um padrão de alerta é descoberto com base em um conjunto de campos de alerta, os alertas são considerados relacionados entre si e, portanto, são agrupados em um Padrão Aprendido. Por exemplo, se você configurar atributos de identificador para criar um padrão com base em alertas com o mesmo grupo de prioridade e recurso, se um grupo de alertas corresponder a esses atributos, eles serão agrupados em um padrão que será exibido no relatório Padrões Aprendidos (Gestão de eventos > Administração > Padrões Aprendidos).

    Somente um conjunto de atributos de identificador de padrão pode estar ativo por vez. Um novo conjunto de atributos de identificador de padrão não é implementado automaticamente até que você o implante. Quando você implanta um novo conjunto de atributos, o conjunto atual de atributos em vigor se torna inativo. As consultas subsequentes usam os atributos do identificador de padrão ativo para executar a agregação de alertas.

    O principal objetivo dessa agregação de alertas baseada em padrões é encontrar padrões de problemas que ocorreram durante os últimos 30 dias. O número de dias é controlado pelo parâmetro sa_analytics.agg.learner_period_days. Para identificar um problema, o sistema usa uma combinação de itens de configuração (ICs) e identificadores de padrão (às vezes chamados de identificadores de recurso). Um Identificador de Padrão, por padrão, é definido como Nome de Métrica, mas pode ser modificado. Dois alertas são semelhantes se tiverem o mesmo IC e identificador de padrão. No entanto, Origem, Gravidade, Descrição e outros campos de alerta podem ser diferentes. Para obter mais informações, consulteEspecificar e gerenciar atributos de identificador de padrão para agregação de alertas.
    Nota:
    O aprendiz de agregação de alertas também aprende os padrões de alertas em grupos de alertas manuais.

    Em alguns casos, você pode criar padrões a partir de alertas cujos ICs têm o mesmo valor em um campo selecionado. Por exemplo, para criar padrões a partir de alertas que têm o mesmo campo Local de IC, insira "local" na propriedade sa_analytics.agg.learner_group_by_property. Para obter mais informações, consulte Configurar agregação de alertas para trabalhos agendados.

    Os alertas que não contêm um IC ainda podem ser agrupados como grupos de alertas baseados em texto ou em IC. Nesse caso, um nó é considerado um IC. Para habilitar essa funcionalidade, defina a propriedade sa_analytics.enable_no_ci_grouping como verdadeira. Ao trabalhar com grupos baseados em IC, certifique-se de que o Identificador de Recurso inclua o nome do nó e da métrica. Para obter detalhes sobre como configurar o identificador de recurso, consulte Relatório de Padrões Aprendidos.