Formulário de regra de correlação de alertas

  • Versão de lançamento: Xanadu
  • Atualizado 12 de ago. de 2024
  • 3 min. de leitura

    • Gerencie os campos que definem como os alertas são correlacionados e agrupados.

    Tabela 1. Formulário de regra de correlação de alertas
    Campo Descrição
    Nome Nome da regra de correlação.
    Ordem A prioridade de avaliação da regra. Regras com valores numéricos mais baixos recebem prioridade mais alta. Um alerta é avaliado em relação a cada regra de ação de alerta até que uma correspondência seja encontrada.

    Por exemplo, se você tiver duas regras de correlação de alertas com prioridades 10 e 20, respectivamente, a regra com prioridade 10 será avaliada primeiro. Se um alerta corresponder aos critérios da regra com prioridade 10, nenhuma outra regra será verificada. Se não corresponder, o alerta será avaliado em relação à regra com prioridade 20.
    Ativo Opção para ativar ou desativar a regra.
    Avançado Opção para alternar para o modo avançado, que permite usar scripts personalizados para definir sua própria lógica. A regra de correlação de amostra, regra de correlação de alerta SAMPLE, é fornecida pronta para uso para referência. Você pode usar o script disponível como um guia.
    Nota:
    A condição de filtro especifica a quais alertas a regra será aplicada. Certifique-se de que a mesma condição seja usada no script avançado para identificar os alertas a serem incluídos no grupo.
    Descrição Descrição da regra.
    Alerta primário A condição de filtro para identificar o alerta que é o alerta primário, ou o alerta mais importante, em um conjunto de alertas relacionados.

    Este campo não aparece quando Avançado é selecionado.
    Alerta Secundário A condição de filtro para identificar o alerta relacionado ao alerta primário, no entanto, é de menor importância.

    Este campo não aparece quando Avançado é selecionado.
    Filtro A condição de filtro para identificar o alerta no qual o script é executado.

    Ofiltro está disponível somente quando Avançado está selecionado.

    Os parâmetros de filtro diferenciam maiúsculas de minúsculas por padrão. Para desabilitar a diferenciação de maiúsculas e minúsculas, defina o parâmetro sa_analytics.correlation_case_sensitive como falso.
    Tipo de Relacionamento Especifique o tipo de relacionamento entre o alerta primário e o secundário:
    • Nenhum relacionamento: ignore o relacionamento ao procurar uma correspondência.
    • Mesmo IC ou nó: relaciona ambos os alertas com o mesmo IC. Se o campo IC estiver em branco, os alertas deverão ter o mesmo valor de Nó.
    • Primário é primário: relacione os alertas em que o alerta primário é o primário em um relacionamento primário-secundário, conforme descrito na tabela Tipos de relacionamento de IC [cmdb_rel_ci].
    • Primário é secundário: relacione os alertas em que o alerta primário é o secundário em um relacionamento primário-secundário, conforme descrito na tabela Relacionamentos de IC [cmdb_rel_ci].

    Este campo não aparece quando a caixa de seleção Avançado está marcada.
    Diferença de tempo em minutos Os minutos entre os quais o evento primário e secundário devem ocorrer para corresponder a esta regra. O valor padrão é 60 minutos.
    Nota:
    O valor desta entrada não pode exceder 1440 minutos (um dia).

    Este campo não aparece quando Avançado é selecionado.
    Script Script personalizado que você pode modificar para retornar uma cadeia de caracteres JSON que especifica os alertas primários e secundários.

    Selecione Avançado para exibir o campo de script.

    
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
    Relacionamento Descrição do relacionamento de IC entre primário e secundário, por exemplo, Alocado de::Alocado a ou Alocado para::Alocado de.

    Este campo será exibido somente se Primário for Primário ou Primário for Secundário estiver selecionado para o Tipo de Relacionamento.

    Relacionamento

    Este campo não aparece quando Avançado é selecionado.