Règles de gestion des alertes pour la résolution des alertes
Vous pouvez configurer Gestion des événements pour répondre automatiquement aux alertes. Une règle de gestion des alertes détermine la réponse d’alerte requise, par exemple pour ouvrir un incident, un article de la base de connaissances, ouvrir une tâche ou lancer une action de correction.
Règles de gestion des alertes fournies avec l’application de stockage (Gestion des règles d’alerte système de base [sn_em_arm]) pour vous aider à répondre aux alertes. Vous pouvez créer des filtres pour préciser les conditions d'une règle afin que l'action de correction spécifiée dans la règle n'entre en vigueur que lorsque les conditions sont remplies. Par exemple, lancer le flux secondaire requis ou ouvrir un incident basé sur une alerte. L'historique des exécutions de l'alerte est automatiquement mis à jour pour indiquer les actions invoquées.
Les utilisateurs disposant du rôle evt_mgmt_admin peuvent utiliser le concepteur de règles de gestion des alertes pour créer et personnaliser des règles de gestion des alertes afin de cibler les alertes. Définissez des règles avec des filtres pour déterminer les alertes auxquelles la règle s'applique. Vous pouvez créer des règles pour lancer des applications, des URL, des flux secondaires, des actions de correction ou prendre d'autres mesures, notamment ouvrir un incident. Pour en savoir plus, consultez la rubrique Créer une règle de gestion des alertes.
Les utilisateurs disposant du rôle evt_mgmt_operator peuvent exécuter manuellement les règles de gestion des alertes.
Flux des règles de gestion des alertes
Le flux pour créer et exécuter une règle de gestion des alertes est le suivant :| Composant | Description |
|---|---|
| Informations sur l'alerte | Configurez un nom et des informations générales pour la règle. |
| Filtre des alertes | Spécifiez un filtre pour déterminer les alertes auxquelles la règle s'applique. Vous pouvez spécifier les conditions de liste connexe. |
| Actions | Spécifiez la réponse à l'alerte, par exemple exécuter un flux secondaire, effectuer une action de correction, lancer une application ou lancer une URL dans un navigateur. |
Mode d'application des règles aux alertes mises à jour
Les règles de gestion des alertes s'exécutent sur toutes les alertes ouvertes mises à jour. Les règles ne s’exécutent pas sur les alertes fermées, même si elles ont été mises à jour. Les filtres déterminent si les actions de la règle s'appliquent à l'alerte. Par exemple, si la condition d'une règle indique qu'un e-mail est envoyé lorsque la gravité de l'alerte passe à l'état Majeure, la règle s'applique à une alerte mise à jour par un changement de gravité de l'état Avertissement à l'état Majeure.Utiliser les filtres et d'autres actions
Les filtres permettent d'invoquer la règle uniquement lorsque la condition spécifiée se produit, et non à chaque mise à jour de l'alerte. Par exemple, vous pouvez configurer une règle de façon à ce que les mises à jour non pertinentes (telles que la mise à jour d’un champ Notes de travail ) n’entraînent pas l’exécution de la règle. Comme autre exemple, une condition de filtre peut spécifier que la règle de gestion des alertes s'exécute uniquement lorsque la gravité de l'alerte est critique.Vous pouvez effectuer les actions suivantes :
- Spécifier un filtre qui détermine les alertes auxquelles la règle s'applique.
- Dans la section Conditions de liste connexe du formulaire, configurez des conditions supplémentaires, par exemple avec une relation Alert > Parent, pour filtrer toutes les alertes reçues aujourd'hui.
- Répondre aux alertes. Vous pouvez par exemple utiliser des flux secondaires et des workflows pour créer des incidents pour les alertes primaires avec une gravité critique, ou ouvrir un moteur de recherche dans un navigateur pour rechercher des données en fonction du champ de description de l'alerte.
- Appliquer une action de correction. La correction est basée sur des workflows Orchestration qui peuvent être scriptés pour effectuer des tâches de correction telles que la collecte d'informations système ou le redémarrage d'un serveur.Remarque :Pour améliorer les performances des Event Management - Evaluate Scoped Alert Rules Management tâches planifiées, utilisez des flux secondaires au lieu de workflows.
Tâches planifiées qui vérifient les règles de gestion des alertes
La tâche planifiée Event Management - Evaluate Scoped Alert Rules Management0 par défaut vérifie les règles de gestion des alertes toutes les 11 secondes. Cette tâche exécute ensuite les actions requises. Pour les environnements à grande échelle, vous pouvez ajouter plusieurs tâches. S’il vous plaît contacter Service et assistance client.Ne modifiez pas la sn_em_arm.alert_management.num_of_jobs propriété.
Par défaut, les tâches de regroupement d’alertes (alertes de groupe de l’analytique de services à l’aide de l’agrégation d’alertes/RCA) et de gestion des alertes (Event Management - Évaluer la gestion des règles d’alerte dans le champ d’application0) s’exécutent indépendamment l’une de l’autre. Pour en savoir plus sur la coordination de la réponse aux alertes et le regroupement automatisé des alertes, reportez-vous à la rubrique Synchronisation de la réponse aux alertes avec le regroupement automatisé d’alertes.