Formular für Warnungskorrelationsregel

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Verwalten Sie die Felder, die definieren, wie Warnungen korreliert und gruppiert werden.

    Tabelle : 1. Formular für Warnungskorrelationsregel
    Feld Beschreibung
    Name Name der Korrelationsregel.
    Bestellung Die Auswertungspriorität für die Regel. Regeln mit niedrigeren numerischen Werten haben eine höhere Priorität. Eine Warnung wird für jede Warnungsaktionsregel ausgewertet, bis eine Übereinstimmung gefunden wird.

    Wenn Sie beispielsweise zwei Warnungskorrelationsregeln mit den Prioritäten 10 bzw. 20 haben, wird die Regel mit Priorität 10 zuerst ausgewertet. Wenn eine Warnung den Kriterien der Regel mit Priorität 10 entspricht, werden keine weiteren Regeln überprüft. Wenn sie nicht übereinstimmt, wird die Warnung anhand der Regel mit Priorität 20 ausgewertet.
    Aktiv Option zum Aktivieren oder Deaktivieren der Regel.
    Erweitert Option zum Wechseln in den erweiterten Modus, mit dem Sie anwenderdefinierte Skripts verwenden können, um Ihre eigene Logik zu definieren. Die Beispielkorrelationsregel, BEISPIEL FÜR Warnungskorrelationsregel , Wird sofort als Referenz bereitgestellt. Sie können das verfügbare Skript als Leitfaden verwenden.
    Hinweis:
    Die Filtern Bedingung gibt an, für welche Warnungen die Regel gilt. Stellen Sie sicher, dass im erweiterten Skript dieselbe Bedingung verwendet wird, um Warnungen zu identifizieren, die in die Gruppe aufgenommen werden sollen.
    Beschreibung Beschreibung der Regel.
    Primäre Warnung Die Filterbedingung zum Identifizieren der Warnung, die die primäre Warnung oder die wichtigste Warnung in einer Reihe zugehöriger Warnungen ist.

    Dieses Feld wird nicht angezeigt, wenn Erweitert Ist ausgewählt.
    Sekundäre Warnung Die Filterbedingung zur Identifizierung der Warnung, die sich auf die primäre Warnung bezieht, ist jedoch von geringerer Bedeutung.

    Dieses Feld wird nicht angezeigt, wenn Erweitert Ist ausgewählt.
    Filter Die Filterbedingung zur Identifizierung der Warnung, für die das Skript ausgeführt wird.

    Filtern Ist nur verfügbar, wenn Erweitert Ist ausgewählt.

    Bei Filterparametern wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. Um die Groß-/Kleinschreibung zu deaktivieren, legen Sie fest sa_analytics.correlation_case_sensitiveParameter bis Falsch .
    Beziehungstyp Geben Sie den Typ der Beziehung zwischen der primären und der sekundären Warnung an:
    • Keine Beziehung : Ignorieren Sie die Beziehung, wenn Sie nach einer Übereinstimmung suchen.
    • Gleiches CI oder gleicher Knoten : Verknüpfen Sie beide Warnungen mit demselben CI. Wenn das CI-Feld leer ist, müssen die Warnungen denselben Knotenwert haben.
    • Primär ist übergeordnet : Verknüpfen Sie die Warnungen, bei denen die primäre Warnung das übergeordnete Element in einer über- und untergeordneten Beziehung ist, wie in der Tabelle „CI-Beziehungstypen“ [cmdb_rel_ci] beschrieben.
    • Primär ist untergeordnet : Verknüpfen Sie die Warnungen, bei denen die primäre Warnung das untergeordnete Element in einer Beziehung zwischen untergeordneten und übergeordneten Elementen ist, wie in der Tabelle „CI-Beziehungen“ [cmdb_rel_ci] beschrieben.

    Dieses Feld wird nicht angezeigt, wenn Erweitert Kontrollkästchen ist aktiviert.
    Zeitdifferenz in Minuten Die Minuten, zwischen denen das primäre und das sekundäre Ereignis stattfinden müssen, um dieser Regel zu entsprechen. Der Standardwert beträgt 60 Minuten.
    Hinweis:
    Der Wert für diesen Eintrag darf 1440 Minuten (einen Tag) nicht überschreiten.

    Dieses Feld wird nicht angezeigt, wenn Erweitert Ist ausgewählt.
    Skript Anwenderdefiniertes Skript, das Sie ändern können, um eine JSON-Zeichenfolge zurückzugeben, die die primären und sekundären Warnungen angibt.

    Wählen Sie Aus Erweitert Zum Anzeigen des Skriptfelds.

    
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
    Beziehung Beschreibung der CI-Beziehung zwischen primärem und sekundärem, z. B. Zugeteilt von::zugeteilt an Oder Zugeteilt an::zugeteilt von .

    Dieses Feld wird nur angezeigt, wenn einer der beiden Fälle vorliegt Primär ist übergeordnet Oder Primär ist untergeordnet Ist für ausgewählt Beziehungstyp .

    Beziehung

    Dieses Feld wird nicht angezeigt, wenn Erweitert Ist ausgewählt.