Textbasierte Warnungsgruppierung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Bei der textbasierten Warnungsgruppierung werden Warnungen anhand bestimmter Textmuster oder Stichwörter im Warnungsinhalt organisiert und korreliert. Dieser Ansatz gruppiert Warnungen, die ähnliche Textmerkmale aufweisen, z. B. Fehlermeldungen oder Ereignisbeschreibungen, dynamisch, was eine flexiblere und anpassungsfähigere Verwaltung von Warnungen ermöglicht.

    Die EM Alert Clustering-Lösung ist eine Methode, die verwendet wird, um Warnungen basierend auf Ähnlichkeiten in bestimmten Feldern zu korrelieren und Cluster oder Gruppen zu bilden. In ServiceNow Ereignismanagementwerden Cluster auf Grundlage der Felder Beschreibung, Metrikname und Configuration item.Class-Felder erstellt. Diese Lösung organisiert Warnungen in textbasierten Gruppen, und wenn eine neue Warnung eingeht, identifiziert die ML-Vorhersage das entsprechende Cluster und gruppiert Warnungen innerhalb desselben Clusters.
    Hinweis:
    Der ML-Vorhersageauftrag ist asynchron und weist Clustern Echtzeitwarnungen zu, was zu geringfügigen Verzögerungen führen kann. Diese Verzögerung kann dazu führen, dass textbasierte Gruppen einige Minuten später erstellt werden, da die Aufgabe zur Gruppierung von Warnungen einmal pro Minute ausgeführt wird. Wenn Vorhersageergebnisse während einer Ausführung nicht verfügbar sind, werden sie im nächsten Gruppierungsauftrag erneut überprüft.

    Damit die textbasierte Logik ausgeführt werden kann, muss das Plugin Predictive Intelligence (com.glide.platform_ml) installiert und die Definition der EM Alert Clustering-Lösung aktiviert sein.

    Es gibt bestimmte Einstellungen oder Grenzwerte zur Steuerung des Verhaltens der textbasierten Warnungsgruppierung. Diese Schwellenwerte definieren die Kriterien für die Gruppierung von Warnungen basierend auf Textmustern oder Attributen. Die textbasierten Schwellenwerte sind:
    • Clusterqualitätsschwellenwert: Der Clusterqualitätsschwellenwert (sa_analytics.alert_grouping_tb_cluster_quality_threshold) bestimmt die Mindestqualität, die erforderlich ist, damit ein Warnungscluster als gültig angesehen wird. Dieser Schwellenwert stellt sicher, dass nur Cluster mit einem Mindestmaß an Ähnlichkeit und Zuverlässigkeit verwendet werden. Cluster, die diesen Schwellenwert erfüllen, gelten als gültig. Dadurch wird die Genauigkeit der Gruppierungen verbessert und Rauschen durch irrelevante Cluster oder Cluster mit niedriger Qualität reduziert. Der Schwellenwert liegt zwischen 1 und 100, der Standardwert ist 70.
    • Warnungsrangschwellenwert: Der Warnungsrangschwellenwert (sa_analytics.alert_grouping_tb_alert_rank_threshold) definiert den Mindestrang, der erforderlich ist, damit eine Warnung in eine Gruppe aufgenommen wird. Dieser Schwellenwert stellt sicher, dass nur Warnungen mit einem bestimmten Ähnlichkeitsgrad in einer Gruppe zusammengefasst werden, wobei Warnungen mit niedrigerem Rang herausgefiltert werden, um die Qualität der Warnungsgruppe zu erhalten. Der Standardwert ist 0,3, wobei niedrigere Werte auf eine bessere Ähnlichkeit hindeuten.
    Hinweis:
    Um diese Eigenschaften zu verwenden, müssen Sie Eigenschaften mit denselben Namen erstellen und ihnen die erforderlichen Werte zuweisen. Weitere Informationen zum Erstellen einer Eigenschaft finden Sie unter Add a system property.

    Die Definition der EM Alert Clustering-Lösung befindet sich in der Tabelle [ml_capability_definition_clustering]. Um darauf zuzugreifen, navigieren Sie zu Predictive Intelligence > Clustering > Lösungsdefinitionen.

    Informationen dazu, ob die Lösungsdefinition aktiv ist, finden Sie unter Überprüft die Lösung für textbasiertes Clustering. Zum Deaktivieren der Definition der EM-Warnungs-Clustering-Lösung deaktivieren Sie die textbasierte Warnungsgruppierung, indem Sie die Eigenschaft sa_analytics.text_based_group_enabled auf „false“ festlegen und das Kontrollkästchen Aktiv in der Definition der EM-Warnungs-Clustering-Lösung deaktivieren.

    Beispiel für textbasierte Warnungsgruppierung

    Szenario Beispiel
    Probleme mit der Netzwerkverbindung: Es gibt weit verbreitete Probleme mit der Netzwerkverbindung, die mehrere Abteilungen betreffen.

    Warnungen von verschiedenen Netzwerküberwachungstools können Probleme wie Netzwerksegmentausfall, hoher Paketverlust oder Konnektivitätsprobleme im Subnetz melden. Die textbasierte Warnungsgruppierung nutzt die EM Alert Clustering-Lösung und die ML-Vorhersage, um die Warnungsverwaltung zu optimieren. Die EM Alert Clustering-Lösung verwendet Natural Language Processing-Algorithmen (NLP), um häufige Textmuster in Warnungen wie Netzwerksegmentausfall oder hoher Paketverlust zu analysieren und zu identifizieren. Anschließend werden diese Warnungen basierend auf ihrer Textähnlichkeit gruppiert und zugehörige Probleme gruppiert. Die ML-Vorhersage verbessert diesen Prozess zusätzlich, indem sie neue Warnungen in Echtzeit auswertet und anhand ihrer Textmuster den entsprechenden vorhandenen Clustern zuordnet.

    Diese dynamische Gruppierung bietet eine konsolidierte Ansicht der Konnektivitätsprobleme, sodass Netzwerktechniker schnell diagnostizieren und die Ursache der Probleme effizienter beheben können.