Geplante Aufgaben und Parameter für die Warnungsgruppierung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Automatisieren Sie die Warnungsorganisation, indem Sie Aufträge konfigurieren, um Warnungen basierend auf vordefinierten Kriterien und Parametern zu gruppieren.

    Zum Gruppieren von Warnungen in den Gruppen „automatisiert“, „CMDB“, „textbasiert“, „Tag-Cluster“ und „Netzwerkverkehrskorrelation“ wird die geplante Aufgabe benannt Service Analytics gruppiert Warnungen mit RCA/Warnungszusammenfassung Wird normalerweise einmal pro Minute ausgeführt. Dieser Auftrag verarbeitet die Gruppierung von Warnungen basierend auf der angegebenen Methode. Darüber hinaus können Sie mehrere geplante Aufgaben parallel ausführen, um die Warnungsgruppierung effizienter zu verwalten. Weitere Informationen finden Sie unter Führen Sie mehrere geplante Aufgaben für die Warnungsgruppierung aus.

    Um zu definieren, welche Warnungen gruppiert werden, werden die folgenden Parameter verwendet:
    • sa_analytics.aggregation_enabled: Dieser Parameter aktiviert die von der geplanten Aufgabe erstellte Warnungsgruppierung. Legen Sie die Eigenschaft fest Enable alert aggregation for Automated, CMDB, and Text-Based groupsBis Wahr Zum Aktivieren dieser Funktion.
      Hinweis:
      Diese Eigenschaft gilt auch für die Gruppierung von Tag-Clustern und Netzwerkverkehr-Korrelation.
    • sa_analytics.agg.query_dynamic_window: Standardmäßig ist dies auf 10 Minuten (600 Sekunden) festgelegt. Definiert die maximal zulässige Zeitdifferenz zwischen den Zeiten der letzten Ereignisgenerierung von zwei Warnungen, die gruppiert werden kann.
    • sa_analytics.agg.query_max_group_lifetime: Dieser Parameter gibt den maximalen Zeitraum von der Generierung der ersten Warnung bis zur letzten Warnung in einer Gruppe an, mit einem Standardwert von 30 Minuten (1800 Sekunden). Wenn Ereignisse mit einer Verzögerung eintreffen, die diesen Zeitraum überschreitet, wird die angezeigt sa_analytics.agg.group_expiration_timeDer Parameter kann verwendet werden, um die Gruppierungszeit über 30 Minuten zu verlängern.
    Hinweis:
    Einige Parameter, z. B. sa_Analytics.agg.query_Dynamic_window , sa_Analytics.agg.query_max_Group_Lifetime , Und sa_analytics.agg.group_expiration_time , Sind Nicht Sofort einsatzbereit bereitgestellt. Um diese Eigenschaften zu verwenden, müssen Sie Eigenschaften mit denselben Namen erstellen und ihnen die erforderlichen Werte zuweisen. Weitere Informationen zum Erstellen einer Eigenschaft finden Sie unter Add a system property.

    Beispiel: Wie Warnungen gruppiert werden

    Für die Tag-Cluster-Gruppierung werden Warnungen basierend auf dem Zeitrahmen-Parameter hinzugefügt, der in den Einstellungen für das Warnungs-Tag-Clustering definiert ist. Für die automatisierte, CMDB- und textbasierte Gruppierung des Netzwerkverkehrs werden Warnungen wie folgt zusammengefasst.

    Berücksichtigen Sie die folgenden Warnungen mit demselben CI. (Alle können derselben CMDB-Gruppe hinzugefügt werden.)
    • Alert1: Erste Ereignisgenerierung um 01:00:00 UHR
    • Alert2: Erste Ereignisgenerierung um 01:11:00 UHR
    • Alert3: Erste Ereignisgenerierung um 01:13:00 UHR
    • Alert4: Erste Ereignisgenerierung um 01:16:00 UHR
    • Alert5: Erste Ereignisgenerierung um 01:25:00 UHR
    • Warnung 6: Erste Ereignisgenerierung um 01:34:00 UHR
    • Alert7: Erste Ereignisgenerierung um 01:43:00 UHR
    Alert1 und Alert2 sind aufgrund des Zeitabstands von mehr als 10 Minuten nicht gruppiert. Alert2 und Alert3 erstellen um 01:13:00 UHR eine Gruppe. Das dynamische 10-Minuten-Fenster beginnt um 01:13:00 UHR mit folgendem Vorgang:
    • Alert4 wird der Gruppe um 01:16:00 UHR hinzugefügt, wodurch das 10-Minuten-Fenster neu gestartet wird.
    • Alert5 und Alert6 werden der Gruppe hinzugefügt, da ihre Ereigniszeiten innerhalb des 10-Minuten-Fensters liegen.
    • Alert7 wird der Gruppe nicht hinzugefügt, da er 9 Minuten nach Alert6 eintrifft und überschreitet sa_analytics.agg.query_max_group_lifetimeGrenzwert der maximalen Gruppenlebensdauer von 30 Minuten ab der ersten Gruppenerstellung (01:13:00 UHR + 30 Minuten = 01:43:00 UHR).
    Hinweis:
    Nachdem eine Warnung erstellt wurde, wird die Korrelationslogik nur einmal angewendet. Änderungen an der Warnung nach ihrer Erstellung werden nicht erneut auf Korrelation ausgewertet. Wenn die Korrelation anfänglich nicht hergestellt wird, kann die Warnung später noch einer Gruppe hinzugefügt werden, aber nur, wenn eine neue eingehende Warnung übereinstimmt und die Gruppierungslogik auslöst.