Warnungszusammenfassung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Diese Fähigkeit erweitert Ereignismanagement um die Analyse von Warnungsdaten und die Warnungszusammenfassung. Die Warnungszusammenfassung hilft Ihnen dabei, eingehende Echtzeitwarnungen zu organisieren und den Warnungslärm zu reduzieren.

    Kunden müssen sich häufig mit einem hohen Alarmrauschen und einer langen durchschnittlichen Zeit bis zur Reparatur (MTTR) auseinandersetzen. Die Vermittlung vieler Warnungen, die nicht logisch gruppiert sind, verursacht einen hohen Overhead.

    Die Warnungszusammenfassung ist eine von vielen Möglichkeiten, Warnungen zu verwalten. Es gibt mehrere Ansätze zum Zusammenfassen von Warnungen. Einige basieren auf der von Ihnen definierten Logik (manuell, regelbasiert oder Tag-Cluster) und anderen State-of-the-Art-Algorithmen, die von Ihnen optimiert werden können (automatisch, CMDB, textbasiert, und Log Analytics). Es gibt Unterschiede im Verhalten für regelbasierte und manuelle Warnungen. Der Hauptunterschied besteht darin, dass beim Erstellen der Gruppe eine der echten Warnungen als übergeordnete Warnung ausgewählt wird. Im automatischen, CMDB- und textbasierten Modus können Sie eine virtuelle Warnung erstellen, die den echten Warnungen übergeordnet ist. Der Prototyp der virtuellen Warnung ist die älteste und schwerwiegendste Warnung in der Gruppe.

    Warnungsgruppen bestehen aus übergeordneten und untergeordneten Warnungen. Übergeordnete Warnungen können tatsächliche Warnungen (manuell, regelbasiert und Log Analytics) oder virtuelle Warnungen (automatisch, CMDB, textbasiert oder Tag-Cluster) sein.

    Um Warnungen in automatischen, CMDB- und textbasierten Gruppen zu gruppieren, wird eine geplante Aufgabe verwendet – „Serviceanalytik-Gruppenwarnungen mit RCA/Warnungszusammenfassung“, die normalerweise einmal pro Minute ausgeführt wird.

    Die folgenden Parameter werden verwendet, um zu definieren, welche Warnungen gruppiert werden:
    • Parameter sa_analytics.aggregation_enabled. Aktivieren Sie die Erstellung automatisierter Warnungsgruppen, indem Sie die Eigenschaft Warnungszusammenfassung für automatisierte, CMDB- und textbasierte Gruppen auf truesetzen.
    • Parameter sa_analytics.agg.query_dynamic_window. Diese ist standardmäßig auf 10 Minuten festgelegt. Der Parameter definiert die maximale Zeitdifferenz zwischen der letzten Event-Generierungszeit von zwei Warnungen, die einer Gruppe hinzugefügt werden können, mit einem Standardwert von 600 Sekunden (10 Minuten).
    • Parameter sa_analytics.agg.query_max_group_lifetime Der maximale Zeitraum von der letzten Event-Generierung der ersten Warnung bis zur letzten Event-Generierung der letzten Warnung in der Gruppe. Der Parameter ist standardmäßig auf 1800 Sekunden (30 Minuten) festgelegt.
      Hinweis:
      In Fällen, in denen Events mit einer Verzögerung von mehr als 1800 Sekunden eintrafen, kann die letzte Event-Generierung der Warnungen der Gruppe zugeordnet werden, indem der Parameter sa_analytics.agg.group_expiration_time mit einem Wert größer als 1800 Sekunden definiert wird.

    Beispiel: Angenommen, Sie haben die folgenden Warnungen mit demselben CI. (Alle können derselben CMDB-Gruppe hinzugefügt werden).

    • Warnung 1: letzte Event-Generierung 01:00:00 Uhr
    • Warnung 2: letzte Event-Generierung 01:11:00
    • Warnung 3: letzte Event-Generierung 01:13:00
    • Warnung 4: letzte Event-Generierung 01:16:00
    • Warnung 5: letzte Event-Generierung 01:25:00
    • Warnung 6: letzte Event-Generierung 01:34:00
    • Warnung 7: letzte Event-Generierung 01:43:00

    Warnung1 und Warnung2 werden nicht gruppiert, da der Zeitunterschied zwischen ihnen mehr als 10 Minuten beträgt.

    Alert2 und Alert3 erstellen um 1:13:00 eine Gruppe.

    Das dynamische 10-Minuten-Fenster beginnt wie folgt:
    • Alert4 wird der Gruppe um 1:16:00 hinzugefügt, und das dynamische 10-Minuten-Fenster wird neu gestartet.
    • Warnung5 wird der Gruppe hinzugefügt, da die letzte Event-Generierungszeit weniger als 10 Minuten nach 1:16:00 liegt.
    • Alert6 wird der Gruppe hinzugefügt.
    Warnung 7, die 9 Minuten nach Warnung 6 eingegangen ist, wird der Gruppe nicht hinzugefügt, da das Limit sa_analytics.agg.query_max_group_lifetime von 30 Minuten nach der Gruppenerstellung 1:13:00 + 30 = 1:43:00 überschritten wurde.
    Die Warnungszusammenfassung können Sie verwenden, um:
    • Warnungen zusammenzufassen und so automatisierte Warnungsgruppen zu erstellen

      Warnungen anhand von Zeitstempeln und CI-Identifizierung zu korrelieren und so automatisierte Warnungsgruppen zu erstellen

    • Warnungen basierend auf den CI-Beziehungen in der CMDB zu korrelieren und so CMDB-Warnungsgruppen zu erstellen
    • Korrelieren Sie Warnungen basierend auf der Textähnlichkeit von Warnungen mithilfe von NLP (Natural Language Processing).
    • Generieren Sie ein Muster für Warnung zu einer Warnungsgruppe hinzufügen, und erstellen Sie dann eine automatisierte Warnungsgruppe gemäß diesem Muster.

    Ereignismanagement gruppiert Warnungen, die ähnlich, aber nicht unbedingt identisch sind. Die Gruppierung basiert auch auf der zeitlichen Nähe der letzten Event-Generierung der Warnungen. Warnungen mit demselben CI werden miteinander gruppiert.

    Die automatische Warnungszusammenfassung umfasst die folgenden Komponenten:
    • Warnungszusammenfassungs-Learner (Serviceanalytik-Warnungszusammenfassungs-Lerner – täglich) – Ein Offline-Auftrag, der täglich ausgeführt wird, um vergangene Warnungen zu verarbeiten und statistische Analysen durchzuführen, um Warnungsmuster zu erstellen. Details finden Sie unter Konfigurieren Sie die musterbasierte Warnungszusammenfassung.
    • Echtzeit-Warnungszusammenfassungsauftrag (Serviceanalytik-Gruppenwarnungen mit RCA/Warnungszusammenfassung): Wird jede Minute ausgeführt und generiert Warnungszusammenfassungsgruppen basierend auf Warnungsmustern, CMDB-Beziehungen und Textähnlichkeit.
    Hinweis:
    In Umgebungen mit Domänentrennung werden Warnungsgruppen nur für Warnungen in derselben Domäne erstellt.