Regras de gestão de alertas para resolver alertas

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Você pode configurar Gestão de eventos para responder a alertas automaticamente. Uma regra de gestão de alertas determina a resposta de alerta necessária, como abrir um incidente, artigo da base de conhecimento, abrir uma tarefa, iniciar uma ação de correção.

    Regras de gestão de alertas fornecidas com o sistema base como uma aplicação da loja (Gestão de regras de alerta [sn_em_arm]) para ajudá-lo a responder a alertas. Você pode criar filtros para especificar condições para a regra para que a ação corretiva especificada na regra tenha efeito somente quando as condições forem atendidas. Por exemplo, inicie o subfluxo necessário ou abra um incidente com base em um alerta. O histórico de execução do alerta é atualizado automaticamente para indicar as ações que foram invocadas.

    Usuários com a função evt_mgmt_admin podem usar o designer de regras de gestão de alertas para criar e personalizar regras de gestão de alertas para agir em alertas especificados. Defina regras com filtros para determinar a quais alertas a regra se aplica. Você pode criar regras para iniciar aplicações, URLs, subfluxos, ações de correção ou executar outras ações, como abrir um incidente. Para obter mais informações, consulte Criar uma regra de gestão de alertas.

    Usuários com a função evt_mgmt_operator podem executar manualmente as regras de gerenciamento de alertas.

    Fluxo de regra de gestão de alertas

    O fluxo para criar e executar uma regra de gestão de alertas é:

    Fluxo de trabalho de gestão de alertas

    Tabela 1. Componentes da regra de gestão de alertas
    Componente Descrição
    Informações do alerta Configure um nome e informações gerais para a regra.
    Filtro de alerta Especifique um filtro para determinar a quais alertas a regra se aplica. Você pode especificar as condições da lista relacionada.
    Ações Especifique a resposta ao alerta, como para executar um subfluxo, executar uma ação de correção, iniciar uma aplicação ou iniciar um URL em um navegador.

    Como as regras são aplicadas a alertas atualizados

    As regras de gestão de alertas são executadas em todos os alertas em aberto atualizados. As regras não são executadas em alertas encerrados, mesmo que tenham sido atualizados. Os filtros determinam se as ações da regra se aplicam ao alerta. Por exemplo, se a condição de uma regra indicar que uma mensagem de e-mail será enviada quando a gravidade do alerta mudar para Principal, a regra se aplicará a um alerta atualizado por uma mudança de gravidade de Aviso para Principal.

    Uso de filtros e outras ações

    Os filtros garantem que a regra seja invocada somente quando a condição configurada ocorrer e não para cada atualização do alerta. Por exemplo, você pode configurar uma regra para que atualizações que não sejam relevantes (como uma atualização de campo de Anotações de trabalho ) não façam com que a regra seja executada. Como outro exemplo, uma condição de filtro pode especificar que a regra de gerenciamento de alertas seja executada somente quando a severidade do alerta for crítica.

    Você pode realizar as seguintes ações:

    • Especifique um filtro que determina a quais alertas a regra se aplica.
    • Na seção Condições da Lista relacionada do formulário, configure condições adicionais, por exemplo, com um relacionamento Alert > Parent, para filtrar todos os alertas que foram recebidos hoje.
    • Responder a alertas. Por exemplo, usando subfluxos e fluxos de trabalho, crie incidentes para alertas primários com severidade crítica ou abra um mecanismo de pesquisa em um navegador para pesquisar dados de acordo com o campo de descrição do alerta.
    • Aplicar correção. A correção é baseada em fluxos de trabalho de Orquestração que podem ser programados em script para executar tarefas de correção, como coletar informações do sistema ou reinicializar um servidor.
      Nota:
      Para melhorar o desempenho de Event Management - Evaluate Scoped Alert Rules Management trabalhos agendados, use subfluxos em vez de fluxos de trabalho.

    Trabalhos agendados que verificam as regras de gestão de alertas

    As regras de gestão de alertas são verificadas a cada 11 segundos pelo trabalho agendado padrão Event Management - Evaluate Scoped Alert Rules Management0. O trabalho executa as ações necessárias. Para ambientes de grande escala, você pode adicionar mais de um trabalho. Entre em contato com Suporte e atendimento ao cliente.
    Nota:
    Somente novos usuários de Vancouver e acima obtêm dois trabalhos agendados: Event Management - Evaluate Scoped Alert Rules Management0 e Event Management - Evaluate Scoped Alert Rules Management1. Os usuários que atualizam de versões anteriores da família permanecem com um único trabalho agendado Event Management - Evaluate Scoped Alert Rules Management0.

    Não modifique a propriedade sn_em_arm.alert_management.num_of_jobs.

    Por padrão, o trabalho de agrupamento de alertas (Análise de serviços agrupa alertas usando RCA/Agregação de alertas) e os trabalhos de gestão de alertas (Gestão de eventos – Avaliar gestão de regras de alerta com escopo0) são executados independentemente um do outro. Para obter mais informações sobre como coordenar a resposta do alerta e o agrupamento automatizado de alertas, consulte Sincronizando a resposta do alerta com o agrupamento automatizado de alertas.

    Migrar regras de ação de alerta existentes

    As regras de ação de alerta existentes de uma versão anterior podem ser migradas para se tornarem regras de gestão de alertas. Você pode modificar uma regra de ação de alerta somente após migrá-la para uma regra de gerenciamento de alertas. Para obter mais informações, consulte Como migrar uma regra de ação de alerta para uma regra de gestão de alertas.