Créer une automatisation de groupe

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Le regroupement des automatisations vous aide à gérer les alertes plus efficacement en collectant ensemble des alertes similaires. Il est ainsi plus facile de voir les tendances, d’identifier rapidement les problèmes et d’y répondre efficacement. En organisant les alertes de cette manière, vous pouvez réduire le bruit des alertes, identifier les causes premières et les affecter aux équipes appropriées.

    Avant de commencer

    Rôle requis : evt_mgmt_admin ou srm_responder

    Pourquoi et quand exécuter cette tâche

    Le regroupement de cette méthode est particulièrement utile lorsque les alertes partagent des données ou des balises communes, telles qu’un nœud ou un emplacement. Vous pouvez utiliser des champs ou des balises renseignés via une automatisation d’enrichissement. C’est le meilleur moyen de regrouper des alertes lorsque votre CMDB ou vos cartes de services sont immatures. Cela complète nos autres algorithmes de regroupement, y compris les règles de corrélation d’alerte, CMDB, ML et le regroupement textuel. Les alertes sont regroupées avec leur première correspondance, et vous pouvez contrôler l’ordre de priorité de ces algorithmes via la propriété système.

    L’automatisation des alertes fournit également une fonctionnalité de simulation vous permettant de tester le nombre de groupes d’alertes à former, le nombre de groupes non groupés et le taux de compression. Un taux de compression plus élevé signifie que votre équipe sera plus productive et pourra être en mesure d’identifier plus rapidement les causes premières. Cependant, demandez-vous si les groupes sont précis, corrects sur le plan opérationnel et affectés aux bonnes équipes. Vous pouvez ajuster les critères de groupe jusqu’à ce que vous soyez satisfait des groupes obtenus.

    Pour les utilisateurs familiers avec l’expérience classique Gestion des événements , cette fonctionnalité offre une interface simplifiée avec une meilleure prise en charge de l’équipe pour la création de définitions de regroupement d’alertes basées sur des balises.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. Dans la navigation primaire, sélectionnez l’icône Automatisation des alertes ( icône Automatisations des alertes).
    3. Sur la page Automatisation des alertes, sous Types d’automatisation, sélectionnez Groupe.
      La page Alertes de groupe s’affiche.
      La page Alertes de groupe s’ouvre.
    4. Sélectionnez Créer une automatisation.
      La page Alertes de groupe s’ouvre.
    5. Dans le champ Nom de l’automatisation , saisissez le nom de l’automatisation pour le regroupement des alertes.
    6. Activez l’automatisation en activant l’interrupteur à bascule Actif .
    7. Dans la section Si ces conditions sont remplies , définissez des critères de filtre pour identifier les alertes que vous souhaitez regrouper.
      1. Dans le menu de champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer quelles alertes d’équipe déclencheront l’automatisation.

        Le groupe d’affectation représente une équipe spécifique responsable de la gestion de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur, seul le groupe dont vous faites partie est disponible.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ensuite, ajoutez d’autres conditions à l’aide des opérateurs OR ou ET. Vous devez ajouter au moins un filtre supplémentaire en plus du groupe d’affectation.
        Conseil :
        Sélectionnez un filtre plus spécifique pour améliorer les performances.

        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.

    8. Dans la section Ensuite, regroupez les alertes en fonction des critères suivants , procédez comme suit.
      Critères de regroupement d’alertes
      1. Dans le champ Délai de regroupement , spécifiez la durée (en minutes) pendant laquelle les alertes doivent être collectées et regroupées.
      2. Dans le menu Champ source , sélectionnez la source à partir de laquelle vous souhaitez regrouper les alertes.
      3. Dans le champ Méthode de correspondance pour le regroupement , sélectionnez l’une des options suivantes : regrouper les alertes en fonction d’une correspondance exacte, d’une correspondance approximative ou d’une correspondance de modèle.

        Lorsque vous sélectionnez une valeur pour la méthode de correspondance floue dans le champ de regroupement, le champ Seuil de similarité (pourcentage) devient visible. Les alertes sont regroupées lorsque leur similarité est supérieure ou égale au pourcentage spécifié en fonction de la distance de mise à jour.

        Par exemple, si vous avez des alertes en provenance des États-Unis, de Californie et des États-Unis, NY et que vous souhaitez les regrouper par pays, vous devez définir le champ Source sur États-Unis. Si la méthode de correspondance pour le regroupement est une correspondance approximative et que le seuil de similarité (pourcentage) est égal à 50 %, les alertes sont regroupées si elles sont similaires à au moins 50 %, ce qui signifie qu’elles partagent le pays « États-Unis » comme attribut commun.

      4. Lorsque vous sélectionnez une valeur pour la méthode de correspondance de modèle dans le champ de regroupement, le champ de correspondance de modèle devient visible. Les alertes sont regroupées lorsque le modèle spécifié correspond. Pour plus d'informations, consultez Pattern matching.

        Utilisez des astérisques (*) dans la chaîne de recherche pour faire correspondre n’importe quel nombre de caractères ou un point d’interrogation ( ?) pour faire correspondre n’importe quel caractère. Tout le reste de la chaîne de recherche correspond à lui-même. Par exemple, utilisez « HTTP Error 5 ?? " correspond à toutes les erreurs HTTP 500.

        Pour inclure des champs supplémentaires pour le regroupement, sélectionnez + Ajouter un champ.

    9. Dans la section Détails de l’automatisation, fournissez une commande et une description de l’automatisation.
      Détails de l’automatisation du regroupement d’alertes
      1. Dans le champ Ordre , saisissez l’ordre d’automatisation.

        Les alertes sont regroupées en fonction de leur première correspondance. Le champ Automatisation gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .

      2. Dans le champ Description de l’automatisation , entrez une brève description de l’automatisation.
    10. Facultatif : Pour tester si le regroupement d’alertes fonctionne correctement, accédez à Simuler cette automatisation sur les données passées, sélectionnez le délai de la simulation dans la liste déroulante, puis sélectionnez Simuler.

      Pendant la simulation, il affiche à la fois les alertes groupées et les alertes non groupées pour la période spécifiée. Si des alertes sont regroupées, le nombre d’alertes regroupées s’affiche. Vous pouvez sélectionner ce nombre pour afficher les alertes groupées. De plus, la sélection d’une alerte individuelle affiche les détails de cette alerte spécifique. Vous pouvez également modifier les conditions de regroupement d’alertes ou les valeurs de champ et relancer le processus en sélectionnant Réexécuter la simulation.

      La simulation vous permet de tester la façon dont les alertes passées seraient regroupées si l’automatisation était activée. Il prend les alertes passées sous leur forme non groupée et envisage de les regrouper comme si elles venaient d’être reçues. Actuellement, il ne tient compte que de l’automatisation visualisée et ne prend pas en compte d’autres automatisations ou algorithmes de regroupement tels que le regroupement basé sur CMDB.
      Remarque :
      Vous pouvez exécuter la simulation d’alertes sur votre instance de test et de production.
    11. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est enregistrée avec succès. Dans le cas contraire, un message d’erreur s’affiche. L’automatisation de groupe que vous avez créée apparaît sur la page Alertes de groupe où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez escalader des alertes nécessitant des réponses plus rapides de la part d’équipes ou de personnes en implémentant l’automatisation des réponses.