Ereignismanagement Tag-basiertes Warnungs-Clustering-Definitionsformular

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Das Formular zum Erstellen oder Ändern einer Tag-basierten Warnungs-Clustering-Definition zeigt detaillierte Informationen zur Definition an.

    Tabelle : 1. Tag-basiertes Warnungs-Clustering-Definitionsformular
    Feld Beschreibung
    Name Name der Warnungs-Clustering-Definition.

    Definitionsnamen müssen eindeutig sein.
    Aktiv Auswählen, um die Definition zu aktivieren. Diese Option ist standardmäßig ausgewählt.
    Bestellung Die Reihenfolge, in der Definitionen auf eingehende Warnungen getestet werden. Diejenigen mit niedrigeren Reihenfolgewerten werden zuerst getestet.

    Wenn eine Warnung mit einem der Filter der Definitionen übereinstimmt, wird die Suche nach weiteren Definitionen fortgesetzt.

    Standardwert = 1000
    Domäne Die Domäne, in der der aktuelle Datensatz erstellt wurde. Schreibgeschützt.
    Beschreibung Geben Sie eine optionale Beschreibung der Warnungs-Clustering-Definition ein.
    Filter Legen Sie Bedingungen fest, die eingehende Warnungen erfüllen müssen, um anhand der Tags der Warnungs-Clustering-Definition gemessen zu werden. Ob die Tags Warnungen entsprechen, die im System vorhanden sind und sich innerhalb von befinden Clustering-Zeitrahmen (Minuten) Wert: Die eingehenden Warnungen werden mit den vorhandenen Warnungen verbunden, um eine Warnungsgruppe zu bilden.
    Nach der Konfiguration des Filters können Sie auf klicken Vorschau Schaltfläche zum Anzeigen, wie viele vorhandene Warnungen mit der Filterbedingung übereinstimmen.
    Hinweis:
    • Übereinstimmende Warnungen werden nicht automatisch zusammen in einer Warnungsgruppe eingeschlossen. Warnungen werden nur gruppiert, wenn sie über entsprechende Warnungs-Clustering-Tags verfügen.
    • Bei Filterparametern wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. Um die Groß-/Kleinschreibung zu deaktivieren, legen Sie fest sa_analytics.correlation_case_sensitiveParameter bis Falsch .
    • Sie können auch Warnungsfelder konfigurieren, die aus der Suche ausgeschlossen werden sollen, indem Sie verwenden sn_em_tbac.tag_excluded_alert_fieldsEigenschaft. Standardmäßig sind folgende von dieser Eigenschaft ausgeschlossen:
      • Typ
      • Ereignis_Klasse
    Gruppenbeschreibung überschreiben Standardgruppenbeschreibungen beginnen mit dem Präfix „Gruppe von Warnungen“, gefolgt von der Beschreibung der primären Warnung in der Gruppe. Sie können diese Gruppenbeschreibung überschreiben, indem Sie auswählen Überschreiben Sie die Gruppenbeschreibung Kontrollkästchen. Dann in Anwenderdefinierte Beschreibung Feld, geben Sie eine Beschreibung ein. Diese Beschreibung wird als Beschreibung der Gruppen verwendet, die von dieser Warnungs-Clustering-Definition erstellt werden.
    Hinweis:
    Sie können das Formular nicht speichern, wenn Sie das Feld „Anwenderdefinierte Beschreibung“ leer gelassen haben oder den Standardtext „Gruppe von Warnungen“ enthalten.
    Clustering-Zeitrahmen (Minuten) Die maximale Zeit in Minuten, die zwischen Warnungen zulässig ist, damit die Warnungen gruppiert werden können. Beispielsweise gibt der Wert 60 an, dass eine Warnung, die innerhalb von 60 Minuten nach der letzten Warnung generiert wurde, in die Warnungsgruppe aufgenommen wird. Nach diesem Zeitpunkt generierte Warnungen sind nicht in der Warnungsgruppe enthalten.

    Standardwert = 60

    Zulässige Werte = 0-1440
    M2M-Zuweisung von Definitionen und Tags für tag-basiertes Warnungs-Clustering Wählen Sie die Warnungs-Clustering-Tags aus, die der Warnungs-Clustering-Definition zugewiesen werden sollen. Warnungen, die die in den ausgewählten Tags angegebenen Kriterien erfüllen, werden in die Warnungsgruppe aufgenommen.

    Die verfügbaren Optionen sind die Tags, die auf erstellt wurden Tag-Basierte Warnungs-Clustering-Tags Seite.