Ereignismanagement-Konfigurationspräferenzen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 9 Minuten Lesedauer

    • Bevorzugte Einstellungen für Eigenschaften und allgemeine Konfiguration.

    Verwenden Sie das Known Error-Portal und die Community zur Suche nach weiteren Informationen.

    Allgemeine Präferenzen

    Selbstintegrität
    Standardmäßig ist die Selbstintegritätsüberwachung nicht aktiviert. Um sie zu aktivieren, navigieren Sie zu Ereignismanagement > Einstellungen > Eigenschaften und wählen Sie Ja für die Eigenschaft Enable Event Management self-health monitoring (evt_mgmt.self_health_active). Verwenden Sie dieses Feature zum Überwachen und Nachverfolgen vieler Ereignismanagement-Funktionen
    Hinweis:
    Im Selbstintegritätsservice verwendete CIs werden in der CMDB erstellt.
    Verwenden Sie die folgenden Einstellungen, um einer Verschlecherung der Leistung vorzubeugen.
    Thema Details
    Business Rules
    • Schreiben Sie keine Business Rules für Event-Tabellen [em_event], da sie nicht in der aktuellen Standard-REST-URL ausgeführt werden, die für die Event-Injektion verwendet wird.
    • Business Rules, die für Warnungstabellen [em_alert] geschrieben werden, müssen sehr effizient sein, da sie sonst zu einer Verschlechterung der Leistung führen können. Überlegen Sie, anstatt eine Geschäftsregel zu schreiben, ob besser ein Job geschrieben werden sollte. Eine ineffiziente Geschäftsregel kann dazu führen, dass die Incident-Erstellung fehlschlägt und die Berechnung der Warnungsauswirkung fehlschlägt.
    • Schreiben Sie keine asynchronen Business Rules für Warnungstabellen.
    • Business Rules dürfen das Feld Kategorie in Event-Tabellen [em_event] nicht ändern.
    Hochskalierung Überprüfen Sie die durchschnittliche Event-Verarbeitungszeit, bevor Sie den Event-Durchsatz beim ersten Start mit Ereignismanagement hochskalieren. Führen Sie diese Überprüfung nach einem ersten Flow von Events durch, wenn alle Regeln vorhanden sind. Wenn die Verarbeitungszeit pro Event einige Millisekunden dauert, ermitteln Sie die Ursache für die Verlangsamung der Verarbeitung, bevor Sie mit der Skalierung fortfahren. Die Leistungsdauer kann in der Tabelle Leistungsstatistiken [sa_performance_statistics] überprüft werden.
    Für große Umgebungen konfigurieren
    • Legen Sie die Eigenschaft Event-Verarbeitung für mehrere Knoten aktivieren (evt_mgmt.event_processor_enable_multi_node) auf Ja fest.

      Aktivieren Sie Mehrknotenpunkte in Produktionsumgebungen, und legen Sie Werte basierend auf der Größe der Bereitstellung und der erwarteten Event-Rate fest.

    • Legen Sie die Anzahl der Scheduled Jobs zur Event-Verarbeitung (evt_mgmt.event_processor_job_count) auf 4 fest.
    • Wenn Sie Events aus einer benutzerdefinierten Quelle senden, stellen Sie sicher, dass Events über Nachrichtenschlüssel oder die Daten Quelle, Knoten, Typ und Ressource verfügen.
    Latenzprobleme beim Empfang von Events Überprüfen Sie die folgenden Einstellungen:
    • Stellen Sie sicher, dass das Bucketfeld in der Event-Tabelle [em_event] auf einen Wert festgelegt ist, der größer als Null (0) ist.
    • Navigieren zu Systemzeitplaner > Geplante Aufgaben und suchen Sie nach - process events*.

      Überprüfen Sie, ob alle - process events*-Jobs gemäß der Eigenschaftskonfiguration der Anzahl der geplanten Events (event_processor_job_count) zur Verarbeitung von Events vorhanden sind. Stellen Sie sicher, dass der Status Running oder Ready ist. Wenn der Status Queued oder Error ist, setzen Sie den Jobstatus auf Ready.
    Events archivieren
    • Vermeiden Sie, die standardmäßige Aufbewahrungszeit für Events zu ändern.
    • Um Events länger zu protokollieren, erstellen Sie eine Archivtabelle und einen Job, der neue Events kopiert. Führen Sie dazu einen Auftrag durch, um Events [em_event] regelmäßig in einer benutzerdefinierten Tabelle zu sichern.
    • Erweitern Sie die Tabellenrotation nicht um weitere Tage.

    Event-Integration

    SNMP-Traps
    • Verwenden Sie zum Senden von SNMP-Traps ein Überwachungstool, anstatt sie direkt von Geräten zu senden.
    • Um zu vermeiden, dass Event-Regeln neu geschrieben werden müssen, laden Sie MIBs hoch, bevor Sie die Event-Regeln definieren.
    Webservice-API
    • Die Verwendung einer Webservice-API für die Integration kann die Anzahl der erforderlichen Event-Regeln reduzieren. Diese Aktion verhindert, dass Events umgewandelt werden müssen (vorbereitete Daten werden in einem Event an die Instanz gesendet).
    • Verwenden Sie dedizierte Anmeldeinformationen für die Integration. Geben Sie optional Anmeldeinformationen an, die für jede Event-Quelle spezifisch sind.
    CloudWatch
    Verwenden Sie dedizierte Anmeldeinformationen für die Integration von CloudWatch mit ServiceNow.
    E-Mail
    Verwenden Sie E-Mail nur, wenn die Quelle ein geringes Volumen hat und andere Optionen nicht verfügbar sind, z. B. Ausführen eines Skripts oder Weiterleiten eines SNMP-Traps.
    Event-Regeln
    Regeln für Konfigurationseinstellungen bei der Erstellung von Event-Regeln:
    • Schreiben Sie Event-Regeln, um sie auf möglichst viele Events anzuwenden. Spezifischere Regeln können dann je nach Bedarf erstellt werden und sollten einen Wert niedrigerer Ordnung verwenden.
    • Wenn eine allgemeinere Regel zum gleichen Ergebnis führen kann, vermeiden Sie das Schreiben von Event-Regeln, die nur für eine bestimmte Teilmenge von Events gelten.
    • Wenn Event-Regeln auf Events angewendet werden, werden keine Änderungen am ursprünglichen Event vorgenommen. Die gesamte Verarbeitung erfolgt im Arbeitsspeicher. Verwenden Sie daher das Feld Verarbeitungshinweise und/oder verwenden Sie den Link Prozess der Event-UI-Aktion überprüfen, um Fehler zu beheben.
    • Wenn Sie eine Regel/Umwandlung ändern, die über Zuordnungsregeln verfügt, sollten Sie tatsächliche und/oder simulierte Events überprüfen und erneut testen.
    • Stellen Sie sicher, dass der Wert im Feld Von genau mit einer Zeichenfolge im JSON-Text im Feld additional_info eines Events übereinstimmt. Diese Zuordnung erfolgt, wenn eine Regel basierend auf Informationen in einer MIB-Datei konfiguriert wurde. Wenn die MIB-Datei nicht hochgeladen wird, zeigt die JSON für die SNMP-Trap varbinds (Variablenbindung) mit gepunkteten Namen anstelle des übersetzten Namens in der MIB an. Die Zuordnungsregel für das Event-Feld kann dann nicht angewendet werden.
    • Erstellen Sie eine konsistente Namenskonvention. Eine gängige Konvention ist: <customer acronym>.<Event Source>.<Description>. Beispiel: ACME.OEM.Normalize
    • Wenn für zwei Event-Regeln ähnliche Bedingungen festgelegt sind, verwenden Sie das Feld Reihenfolge, um zu steuern, welche Event-Regel ausgeführt wird.
    • Verwenden Sie Event-Regeln, um eine Warnung einem CI zuzuordnen.
    Zusätzliche Einstellungen zum Erstellen von Event-Regeln:
    Gewünschtes Ergebnis Erforderliche Aktivität
    Effektive Deduplizierung und Aktivierung einer effizienten parallelen Event-Verarbeitung Füllen Sie die Felder Quelle, Knoten, Typ, Ressource und Metrikname aus.
    CI-Bindung
    • An Host binden – durch Ausfüllen des Knotenfelds und optional von CI-Bezeichnern.
    • Bindung an Anwendung und/oder Gerät – durch Ausfüllen der Felder CI-Bezeichner und Zusätzliche Informationen.
    Warnungskorrelation mithilfe von Warnungszusammenfassung Füllen Sie die Felder Ressource und Metrikname aus.
    Hinweis:
    Wenn das CI auch gebunden ist, wird die Warnungskorrelation verbessert.
    Benutzerdefinierte Event-Felder
    Fügen Sie zusätzliche Felder nur in das Feld Zusätzliche Informationen des Events ein.
    Fügen Sie einem Event keine zusätzlichen Felder hinzu, indem Sie der Event-Tabelle [em_event] ein benutzerdefiniertes Feld hinzufügen.
    Fügen Sie der Event-Tabelle [em_event] keine Spalten hinzu.

    Informationen zum Einbinden zusätzlicher Felder in Events finden Sie unter Benutzerdefinierte Warnungsfelder.

    Deduplizierung
    Konfigurationseinstellungen für Deduplizierung.
    • Das Feld message_key wird für die Deduplizierung verwendet. Wenn beim Quell-Event keine zuverlässigen Nachrichtenschlüsselwerte bereitgestellt werden, ist ein gut definierter Plan für die Erstellung dieser Bezeichner wichtig.
    • Wenn der Nachrichtenschlüssel nicht definiert ist, lautet der Standard-Nachrichtenschlüssel <Source + Node + Type + Resource + Metric Name> .
    • Die Leitlinie besteht darin, dass die Event-Quelle die <Source + Node + Type + Resource + Metric Name>-Felder vorab ausfüllt und den Nachrichtenschlüssel ausfüllt. Diese Aktion ermöglicht eine bessere Verteilung der Event-Verarbeitung zwischen Instanzarbeitern und Knoten.
    • Wenn das Quell-Event keine Werte für diese Felder enthält, müssen Sie sie mithilfe von Umwandlungsregeln ausfüllen. Diese Aktion wirkt sich nicht auf die Event-Verarbeitung aus, wird jedoch zur Deduplizierung verwendet. Füllen Sie so viele dieser Felder wie möglich aus, bevor sie an die Instanz gesendet werden. Diese Aktion bietet eine bessere Verteilung von Events auf die Prozessorarbeiter und somit einen besseren Durchsatz und eine bessere Skalierung.
    CI-Bindung
    • Versuchen Sie nach Möglichkeit immer, eine Warnung an ein CI zu binden.
      Hinweis:
      Obwohl Event-Regeln für Events definiert sind, sind CIs an Warnungen gebunden, die aus diesen Events resultieren, und nicht an das Event selbst.
    • Um einen Host, Computer oder ein beliebiges Gerät mit einer IP zu binden, füllen Sie das Event-Knotenfeld mit einem eindeutigen Hostnamen, FQDN, einer IP-Adresse oder einer MAC-Adresse aus. Wenn zur Identifizierung eines Hosts andere Bezeichner erforderlich sind, füllen Sie das Feld „ci_identifiers“ mit einem JSON-Format aus. Das JSON-Format muss den CMDB-Feldnamen und -Wert enthalten, um die Übereinstimmung durchzuführen.
      Hinweis:
      Das Event-Knotenfeld muss aus einer Event-Regel oder mit einem eindeutigen Hostnamen aus der Quelle ausgefüllt werden, bevor das Event eingefügt wird.
    • Die primäre Bindungsstrategie besteht in der Verwendung des Felds Knoten. Wenn das Knotenfeld im Event nicht bereits ausgefüllt ist, kann es mithilfe von Event-Regeln ausgefüllt werden.

    Warnungseinstellungen

    Warnungslebenszyklus
    Allgemeine Warnungsfunktionalität:
    • Eine Warnung wird immer dann geöffnet, wenn ein Event nicht ignoriert wird oder dessen Schwellenwert von einer Event-Regel überschritten wird und die Deduplizierung das Event nicht als zu einer vorhandenen Warnung gehörig identifiziert.
    • Eine Warnung wird geschlossen, wenn ein Abschluss-Event auf demselben Nachrichtenschlüssel gesendet wird, oder wenn die Warnung manuell geschlossen wird.
    • Eine Warnung wird erneut geöffnet, wenn eine Eröffnungswarnung mit demselben Nachrichtenschlüssel innerhalb des in den Eigenschaften definierten Zeitrahmens gesendet wird (Standard ist eine Stunde).
    • Wenn eine Warnung in schneller Abfolge (gemäß der Definition in den Eigenschaften) geöffnet und geschlossen wird, wechselt sie in den Status „Fluktuierend“. Wenn diese Öffnungs- und Schließungsrate aufhört, verliert die Warnung ihren Status „Fluktuierend“.
    • Wenn ein Incident aus einer Warnung geöffnet wird, bleibt diese Warnung offen, solange der Incident offen bleibt. Standardmäßig wird beim Schließen des Incidents oder der Warnung auch der jeweils andere geschlossen. Dieses Verhalten kann mithilfe von Eigenschaften konfiguriert werden.
    • Schließen Sie keine Warnung, wenn Sie einen entsprechenden Incident erstellen.
    • Löschen Sie keine offenen Warnungen. Schließen Sie zuerst eine Warnung, und löschen Sie sie dann.
    • Verwenden Sie Bestätigen, um anzugeben , dass die Warnung bekannt ist und vorübergehend ignoriert werden kann.
    • Verwenden Sie Bestätigen nicht, um eine Warnung mit einem Handlungsbedarf zu versehen.
    • Erstellen Sie keine Warnungen in einem der folgenden Status:
      • Geschlossen
      • OK
      • Offen
    • Die Eigenschaft evt_mgmt.alert_auto_close_interval schließt Warnungen nach dem angegebenen Zeitraum automatisch. Geben Sie nicht 0 an, da dieser Wert die Funktion deaktiviert und zu einer Verschlechterung der Leistung führen kann.
    • Erstellen Sie keine Warnungen im Status OK. In einigen Überwachungssystemen bedeutet OK, dass ein Problem gelöst wurde, während in anderen Überwachungssystemen OK verwendet wird, um Events zu kennzeichnen, die keine operative Bedeutung haben. Im ersten Fall verwenden Sie Löschen anstatt OK mithilfe einer Zuordnungsregel. Im letzteren Fall müssen Sie eine Ignorieren-Regel verwenden, es sei denn, die Events haben einen bestimmten Wert.
    Warnungsaktionsregeln
    • Bei einem Scheduled Job werden alle 11 Sekunden Warnungsaktionsregeln auf neue Warnungen angewendet. Wenn eine Warnungsregel nicht sofort gestartet wird, warten Sie 10–15 Sekunden, bevor Sie mit der Problembehandlung beginnen.
    • Wenn für zwei Warnungsregeln ähnliche Bedingungen festgelegt sind, verwenden Sie das Feld Reihenfolge, um zu steuern, welche Warnungsregel ausgeführt wird.
    • Verwenden Sie Warnungsaktionsregeln mit Aufgabenvorlagen, um statische Werte in einem Incident auszufüllen. Verwenden Sie das Ausfüllerskript, um dynamische Werte im Incident zuzuweisen. Das Ausfüllerskript kann den Wert false zurückgeben, um die Incident-Erstellung abzubrechen.
    • Erstellen Sie einen Benutzer namens Ereignismanagement (oder einen ähnlichen Namen). Anschließend kann das Feld Erstellt von in einer Aufgabenvorlage (z. B. Incident) festgelegt werden, um anzugeben, dass der Benutzer die Quelle der Aufgabe war.
    • Verwenden Sie die Skripteinbindung EvtMgmtCustomIncidentPopulator, um dynamische Wertzuweisungen durchzuführen oder dynamische OOB-Wertzuweisungen zu überschreiben.
    Fehlerkorrektur
    • Legen Sie für die Fehlerkorrekturaufgaben-Tabelle [em_remediation_task] immer Eigenschaften für den Orchestrierungs-Workflow fest.
    • Verwenden Sie ECC-Warteschlange und Workflow > Live-Workflow > Alle Kontexte , um detailliertere Informationen zu Korrekturaktivitäten zu erhalten.

    Business-Regeln

    • Business Rules, die für Warnungstabellen erstellt werden, sollten nicht länger als einige Millisekunden dauern. Anstatt eine Geschäftsregel zu verwenden, sollten Sie in Betracht ziehen, ob die gleiche Funktionalität mit einem Job erreicht werden kann.
    • Verwenden Sie keine Business Rules, um eine Warnung einem CI zuzuordnen. Verwenden Sie Event-Regeln für Bindungen anstelle von Business Rules.

    Planung

    • Organisieren Sie die Konfiguration der Event-Quelle von Filtern, Modulen usw. in mehreren parallelen Vorgängen anstatt in seriellen.
    • Validieren Sie verarbeitete Event-Formate, um sicherzustellen, dass die analysierten Daten mit den gewünschten Ergebnissen übereinstimmen.
    • Testen Sie Produktions-Events in einer Umgebung außerhalb der Produktion. Integrieren Sie sie mit Elementmanagern und ServiceNow-Instanzen außerhalb der Produktion. Wenn Elementmanager außerhalb der Produktion nicht verfügbar sind, senden Sie Events von Elementmanagern sowohl an Produktionsumgebungen als auch an Nichtproduktionsumgebungen.

    Services und Dashboard

    • Verwenden Sie Servicegruppen, um Services in logischen Gruppen zu gruppieren, um die Anzahl der Services zu reduzieren, die im Dashboard „Serviceintegrität“ angezeigt werden.
    • Importieren Sie manuell erstellte Servicezuordnungen.

    Metrikdaten-Sammlerprotokolle und -dateien

    Metrikdaten-Sammlerprotokolle und -dateien befinden sich unter dem Pfad $(MID_SERVER_DIR)/agent. Verwenden Sie diese Protokolle und Dateien für die Fehlerbehebung und Überwachung.

    Tabelle : 1. Speicherort von Metrikdaten Sammlerprotokollen und -dateien
    Protokoll oder Datei Pfad
    Protokolldatei für PowerShell-Metriksammler Protokolle/retrieve_metrics{connector instance ID}.log
    PowerShell-Ausgabedatei work/metrics/metrics_output_{connector instance ID}.txt
    PowerShell-Ausgabedatei work/metrics/parameters_{connector instance ID}.txt

    Die Metrikdaten-Leistung kann in der MID-Server-Protokolldatei überprüft werden, wenn sich der Parameter mid.log.level MID-Server im Debug-Modus befindet.

    Metrikdaten-Leistungszahlen sind in der Tabelle „Leistungsstatistiken“ [sa_performance_statistics] verfügbar. Um die Leistungsnummern anzuzeigen, filtern Sie die Liste der Leistungsstatistiken für Metriksammler.