Geplante Aufgaben und Parameter für die Warnungsgruppierung

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • Automatisieren Sie die Warnungsorganisation, indem Sie Aufträge so konfigurieren, dass Warnungen basierend auf vordefinierten Kriterien und Parametern gruppiert werden.

    Zum Gruppieren von Warnungen in den Gruppen „automatisiert“, „CMDB“, „textbasiert“, „Tag-Cluster“ und „Netzwerkverkehr-Korrelation“ wird die geplante Aufgabe genannt Service Analytics gruppiert Warnungen mit RCA/Warnungszusammenfassung Wird normalerweise einmal pro Minute ausgeführt. Dieser Auftrag verarbeitet die Gruppierung von Warnungen basierend auf der angegebenen Methode. Darüber hinaus können Sie mehrere geplante Aufgaben parallel ausführen, um die Warnungsgruppierung effizienter zu verwalten. Weitere Informationen finden Sie unter Führen Sie mehrere geplante Aufgaben für die Warnungsgruppierung aus.

    Um zu definieren, welche Warnungen gruppiert werden, werden die folgenden Parameter verwendet:
    • sa_analytics.aggregation_enabled: Dieser Parameter aktiviert die von der geplanten Aufgabe erstellte Warnungsgruppierung. Legen Sie die Eigenschaft fest Enable alert aggregation for Automated, CMDB, and Text-Based groupsBis Wahr Zum Aktivieren dieser Funktion.
      Hinweis:
      Diese Eigenschaft gilt auch für die Gruppierung von Tag-Clustern und Netzwerkverkehr-Korrelation.
    • sa_analytics.agg.query_dynamic_window: Standardmäßig ist dies auf 10 Minuten (600 Sekunden) festgelegt. Definiert die maximal zulässige Zeitdifferenz zwischen den Zeiten der letzten Ereignisgenerierung von zwei Warnungen, die zusammen gruppiert werden können.
    • sa_analytics.agg.query_max_group_lifetime: Dieser Parameter gibt den maximalen Zeitraum von der Generierung der ersten Warnung bis zur letzten Warnung in einer Gruppe an, mit einem Standardwert von 30 Minuten (1800 Sekunden). Wenn Ereignisse mit einer Verzögerung eintreffen, die diesen Zeitraum überschreitet, wird sa_analytics.agg.group_expiration_timeParameter kann verwendet werden, um die Gruppierungszeit über 30 Minuten hinaus zu verlängern.
    Hinweis:
    Einige Parameter, z. B. sa_analytics.agg.query_dynamic_window , sa_analytics.agg.query_max_group_lifetime , Und sa_analytics.agg.group_expiration_time , Sind Nicht Sofort einsatzbereit bereitgestellt. Um diese Eigenschaften zu verwenden, müssen Sie Eigenschaften mit denselben Namen erstellen und ihnen die erforderlichen Werte zuweisen. Weitere Informationen zum Erstellen einer Eigenschaft finden Sie unter Add a system property.

    Beispiel: Wie Warnungen gruppiert werden

    Für die Tag-Cluster-Gruppierung werden Warnungen basierend auf dem Zeitrahmen-Parameter hinzugefügt, der in den Clustering-Einstellungen für Warnungs-Tag definiert ist. Für die automatisierte, CMDB- und textbasierte Netzwerkdatenverkehrsgruppierung werden Warnungen wie folgt aggregiert.

    Berücksichtigen Sie die folgenden Warnungen mit demselben CI. (Alle können derselben CMDB-Gruppe hinzugefügt werden.)
    • Warnung 1: Erste Ereignisgenerierung um 01:00:00 UHR
    • Warnung 2: Erste Ereignisgenerierung um 01:11:00 UHR
    • Warnung 3: Erste Ereignisgenerierung um 01:13:00 UHR
    • Warnung 4: Erste Ereignisgenerierung um 01:16:00 UHR
    • Warnung 5: Erste Ereignisgenerierung um 01:25 UHR
    • Warnung 6: Erste Ereignisgenerierung um 01:34:00 UHR
    • Warnung 7: Erste Ereignisgenerierung um 01:43:00 UHR
    Warnung1 und Warnung2 werden nicht gruppiert, da der Zeitabstand 10 Minuten überschreitet. Warnung2 und Warnung3 erstellen eine Gruppe um 01:13:00 UHR. Das dynamische 10-Minuten-Fenster beginnt um 01:13:00 UHR mit folgendem Vorgang:
    • „Alert4“ wird der Gruppe um 01:16:00 hinzugefügt, wodurch das 10-Minuten-Fenster neu gestartet wird.
    • Warnung5 und Warnung6 werden der Gruppe hinzugefügt, da ihre Ereigniszeiten innerhalb des 10-Minuten-Fensters liegen.
    • Alert7 wird der Gruppe nicht hinzugefügt, da er 9 Minuten nach Alert6 eintrifft und überschreitet sa_analytics.agg.query_max_group_lifetimeGrenzwert der maximalen Gruppenlebensdauer von 30 Minuten ab der ersten Gruppenerstellung (01:13:00 UHR + 30 Minuten = 01:43:00 UHR).
    Hinweis:
    Nachdem eine Warnung erstellt wurde, wird die Korrelationslogik nur einmal angewendet. Änderungen an der Warnung nach ihrer Erstellung werden nicht erneut auf Korrelation ausgewertet. Wenn die Korrelation anfänglich nicht hergestellt wird, kann die Warnung später noch einer Gruppe hinzugefügt werden, aber nur, wenn eine neue eingehende Warnung übereinstimmt und die Gruppierungslogik auslöst.