Trabalhos agendados e parâmetros para agrupamento de alertas

  • Versão de lançamento: Xanadu
  • Atualizado 7 de ago. de 2024
  • 2 min. de leitura

    • Automatize a organização de alertas configurando trabalhos para agrupar alertas com base em critérios e parâmetros predefinidos.

    Para agrupar alertas nos grupos Automático, CMDB, Baseado em texto e Cluster de marcador, o trabalho agendado chamado Alertas de grupo de Análise de serviços usando RCA/Agregação de alertas é normalmente executado uma vez por minuto. Este trabalho lida com o agrupamento de alertas com base no método especificado. Além disso, você pode executar vários trabalhos agendados em paralelo para gerenciar o agrupamento de alertas com mais eficiência. Para obter mais detalhes, consulte Executar vários trabalhos agendados para agrupamento de alertas.

    Para definir quais alertas são agrupados, os seguintes parâmetros são usados:
    • sa_analytics.aggregation_enabled: Este parâmetro habilita o agrupamento automatizado de alertas. Defina a propriedade Enable alert aggregation for Automated, CMDB, and Text-Based groups como verdadeira para ativar este recurso.
    • sa_analytics.agg.query_dynamic_window: por padrão, é definido como 10 minutos (600 segundos). Ele define a diferença de tempo máxima permitida entre os últimos tempos de geração de evento de dois alertas que podem ser agrupados.
    • sa_analytics.agg.query_max_group_lifetime: este parâmetro especifica o período de tempo máximo desde a geração do primeiro alerta até o último alerta em um grupo, com um padrão de 30 minutos (1800 segundos). Se os eventos chegarem com um atraso superior a esse período, o parâmetro sa_analytics.agg.group_expiration_time poderá ser usado para estender o tempo de agrupamento para além de 30 minutos.
    Nota:
    Alguns parâmetros, como sa_analytics.agg.query_dynamic_window, sa_analytics.agg.query_max_group_lifetimee sa_analytics.agg.group_expiration_time, são fornecidos prontos para uso. Para usar essas propriedades, você precisa criar propriedades com os mesmos nomes e atribuir os valores necessários a elas. Para obter mais informações sobre como criar uma propriedade, consulte Add a system property.

    Exemplo: como os alertas são agrupados

    Para o agrupamento de cluster de tag, os alertas são adicionados a um grupo com base no parâmetro de intervalo de tempo definido nas configurações de cluster de tag de alerta. Para agrupamentos automatizados, CMDB e baseados em texto, os alertas são agregados da seguinte forma.

    Considere os seguintes alertas com o mesmo IC. (Todos eles podem ser adicionados ao mesmo grupo do CMDB).
    • Alert1: última geração de evento à 01:00:00
    • Alerta2: última geração de evento à 01:11:00
    • Alerta3: última geração de evento à 01:13:00
    • Alerta4: última geração de evento à 01:16:00
    • Alert5: última geração de evento à 01:25:00
    • Alert6: última geração de evento à 01:34:00
    • Alert7: última geração de evento à 01:43:00
    Alert1 e Alert2 não estão agrupados devido ao intervalo de tempo superior a 10 minutos. O Alert2 e o Alert3 criam um grupo à 01:13:00. A janela dinâmica de 10 minutos começa à 01:13:00, com o seguinte:
    • O Alert4 é adicionado ao grupo às 01:16:00, reiniciando a janela de 10 minutos.
    • Alert5 e Alert6 são adicionados ao grupo porque os horários dos eventos estão dentro da janela de 10 minutos.
    • O Alert7 não é adicionado ao grupo porque ele chega 9 minutos após o Alert6, excedendo o sa_analytics.agg.query_max_group_lifetime limite de vida útil máxima de 30 minutos do grupo a partir da criação do grupo inicial (01:13:00 + 30 minutos = 01:43:00 AM) .