Regeln zur Warnungskorrelation

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Mithilfe von Regeln zur Warnungskorrelation können Sie Warnungen manuell in primäre und sekundäre Klassen unterteilen, und eine Beziehung zwischen ihnen festlegen. Mit Warnungskorrelationsregeln können Sie zusammengehörige Warnungen in Gruppen zusammenfassen.

    Beispiel: Wenn ein Server in Ihrer Organisation offline geht, brauchen Sie keine zusätzlichen Warnungen zu sehen, dass die auf dem Server ausgeführten virtuellen Computer oder Anwendungen ebenfalls ausgefallen sind. Stattdessen werden diese zusätzlichen Warnungen (als sekundäre Warnungen bezeichnet) unter der Ursachenwarnung gruppiert (die als primäre Warnung bezeichnet wird). Sie können diese gruppierten Warnungen in der Express-Liste anzeigen.

    Primäre und sekundäre Warnungen

    • Eine primäre Warnung identifiziert die Ursache eines Events.
    • Eine sekundäre Warnung wird vom gleichen Event generiert, wird aber im Vergleich zur primären Warnung als weniger wichtig betrachtet.
    Sekundäre Warnungen dienen dazu, die zu unterdrückenden Warnungen zu identifizieren, damit Sie den Warnungslärm reduzieren und sich auf die primäre Warnung konzentrieren können. Sie können beide Arten von Warnungen anzeigen, aber die sekundären Warnungen werden solange unter der primären Warnung gruppiert, bis die primäre Warnung geschlossen wird, und sie werden zu eigenständigen geschlossenen Warnungen. Sie können diese Gruppen in der Warnungsliste in Service Operations-Arbeitsbereichanzeigen .

    Beim Arbeiten mit Warnungen werden standardmäßig sekundäre Warnungen geschlossen, nachdem eine primäre Warnung in regelbasierten Gruppen geschlossen wurde, wenn die Eigenschaft evt_mgmt.rule_based_manual_closure auf nofestgelegt ist. Auf diese Eigenschaft kann über die Seite Ereignismanagement „ Eigenschaften“ zugegriffen werden (Ereignismanagement > Einstellungen > Eigenschaften) an. Sobald die Eigenschaft auf Ja festgelegt und die primäre Warnung geschlossen ist, wird die übergeordnete Referenz aus den sekundären Warnungen entfernt, und sie werden zu eigenständigen offenen Warnungen.

    So funktionieren Verwaltungsregeln für primäre und sekundäre Warnungen

    Verwaltungsregeln für primäre und sekundäre Warnungen sind einfach Filter dafür, welche Arten von Warnungen als primär und welche als sekundär klassifiziert werden. Die Filterkriterien werden entsprechend der Warnungstabelle [em_alert] ausgeführt.

    Unter einer primären Warnung ist nur eine Ebene sekundärer Warnungen zulässig. Wenn beispielsweise die sekundäre Warnung A unter der sekundären Warnung B gruppiert ist, werden beide zu sekundären Warnungen unter derselben primären Warnung. Weitere Informationen finden Sie unter Warnungshierarchie.

    Warnungsbeziehungen

    Mit Warnungskorrelationsregeln können Sie angeben, welche Art von Beziehung die primären und sekundären Warnungen haben müssen, damit die Regel übereinstimmt. Die folgenden Beziehungen hängen von den Beziehungen zwischen den CIs in der CMDB ab:
    • Keine Beziehung: Die Beziehung wird ignoriert, wenn Sie nach einer Übereinstimmung suchen.
    • Gleiches CI oder gleicher Knoten: Beziehen Sie beide Warnungen auf dasselbe CI. Wenn das CI-Feld leer ist, müssen die Warnungen denselben Knotenwert haben.
    • Primäres Element ist übergeordnet: Die Beziehung besteht in Richtung des übergeordneten (primären) Elements zum untergeordneten Element, wie in der Tabelle der CI-Beziehungstypen [cmdb_rel_ci] beschrieben.
    • Primäres Element ist untergeordnet: Die Beziehung besteht in umgekehrter Richtung, vom untergeordneten (primären) Element zum übergeordneten Element, wie in der Tabelle „CI-Beziehungen“ [cmdb_rel_ci] beschrieben.

    Wann Korrelationsregeln ausgeführt werden

    Warnungskorrelationsregeln werden ausgeführt, wenn eine Warnung erstellt oder erneut geöffnet wird. Die Warnung wird daraufhin überprüft, ob es sich um eine primäre oder sekundäre Warnung handelt.

    Wird der Schweregrad der primären Warnung auf Geschlossengeändert, dann werden auch die sekundären Warnungen als Geschlossen festgelegt, sofern sie nicht Teil anderer Gruppen sind, in denen die primäre Warnung noch nicht auf Geschlossen festgelegt wurde.

    Warnungshierarchie

    Nur eine Ebene sekundärer Warnungen ist zulässig. In Situationen, in denen eine Sekundärwarnung über eine eigene Sekundärwarnung verfügt, wird die Hierarchie von der Event Management-Anwendung abgeflacht, damit es weiterhin nur zwei Ebenen gibt.

    Ein Beispiel: Nehmen wir an, Warnung A ist die primäre Warnung und Warnung B ist die sekundäre Warnung. Wenn Warnung C zu einer sekundären Warnung von Warnung B wird, wird die Hierarchie von der Anwendung abgeflacht: A bleibt die primäre Warnung, B und C werden zu sekundären Warnungen (eine Ebene unter A).

    Als weiteres Beispiel nehmen wir an, dass drei Korrelationsregeln vorhanden sind, was zu den folgenden Ergebnissen führt:
    • Regel 1 (mit Reihenfolgenwert 1): B wird zur primären Warnung für A.
    • Regel 2 (mit Reihenfolgenwert 2): A wird zur primären Warnung für C und D.
    • Regel 3 (mit Reihenfolgenwert 3): E wird zur primären Warnung für A.

    Wenn die Warnungen B, C, D und E ausgelöst werden, erscheinen sie alle getrennt in der Warnungsliste, da keine Korrelationen zwischen ihnen bestehen.

    Wenn Warnung A ausgelöst wird:
    1. Durch Regel 1 wird A zu einer sekundären Warnung unter Warnung B.
    2. Durch Regel 2 werden sowohl C als auch D zu sekundären Warnungen unter Warnung A.
    3. Regel 3 macht A zu einer sekundären Warnung unter E, wodurch Warnung A in der Hierarchie unter zwei primären Warnungen steht.

    Wenn daher alle Warnungen ausgelöst werden, werden nur B und E in der Warnungsliste angezeigt, und zwar als primäre Warnungen.

    Hinweis:
    Eine sekundäre Warnung kann mit mehr als einer primären Warnung korreliert werden und umgekehrt.