Règles de gestion des alertes pour la résolution des alertes
Vous pouvez configurer Gestion des événements pour répondre automatiquement aux alertes. Les règles de gestion des alertes déterminent la réponse d’alerte requise, par exemple pour ouvrir un incident, un article de la base de connaissances, ouvrir une tâche, lancer une action de correction.
Règles de gestion des alertes fournies avec l’application du magasin (Gestion des règles d’alerte système de base [sn_em_arm]) pour vous aider à répondre aux alertes. Vous pouvez créer des filtres pour préciser les conditions d'une règle afin que l'action de correction spécifiée dans la règle n'entre en vigueur que lorsque les conditions sont remplies. Par exemple, lancer le flux secondaire requis ou ouvrir un incident basé sur une alerte. L’historique des exécutions de l’alerte est automatiquement mis à jour pour indiquer les actions qui ont été invoquées.
Les utilisateurs disposant du rôle evt_mgmt_admin peuvent utiliser le concepteur de règles de gestion des alertes pour créer et personnaliser des règles de gestion des alertes afin d’agir sur les alertes spécifiées. Définissez des règles avec des filtres pour déterminer les alertes auxquelles la règle s’applique. Vous pouvez créer des règles pour lancer des applications, des URL, des flux secondaires, des actions de rattrapage ou prendre d’autres mesures, par exemple pour ouvrir un incident. Pour plus d'informations, consultez Créer une règle de gestion des alertes.
Les utilisateurs disposant du rôle evt_mgmt_operator peuvent exécuter manuellement les règles de gestion des alertes.
Flux des règles de gestion des alertes
Le flux pour créer et exécuter une règle de gestion des alertes est :| Composant | Description |
|---|---|
| Informations sur l'alerte | Configurez un nom et des informations générales pour la règle. |
| Filtre des alertes | Spécifiez un filtre pour déterminer les alertes auxquelles la règle s’applique. Vous pouvez spécifier les conditions de liste connexe. Remarque : Les champs qui ne sont pas pris en charge pour le filtrage des alertes sont : Nombre global d’événements, Priorité, Groupe de priorités, Répartition des priorités, Balises et Services impactés. |
| Actions | Spécifiez la réponse à l’alerte, par exemple pour exécuter un flux secondaire, effectuer une action de rattrapage, lancer une application ou lancer une URL dans un navigateur. |
Comment les règles sont appliquées aux alertes mises à jour
Les règles de gestion des alertes s’exécutent sur toutes les alertes ouvertes mises à jour. Les règles ne s’exécutent pas sur les alertes fermées, même si elles ont été mises à jour. Les filtres déterminent si les actions de la règle s’appliquent à l’alerte. Par exemple, si la condition d’une règle indique qu’un message électronique est envoyé lorsque la gravité de l’alerte passe à Majeure, la règle s’applique à une alerte mise à jour par un changement de gravité de Avertissement à Majeure.Utilisation des filtres et autres actions
Les filtres garantissent que la règle est invoquée uniquement lorsque la condition configurée se produit, et non pour chaque mise à jour de l’alerte. Par exemple, vous pouvez configurer une règle de sorte que les mises à jour qui ne sont pas pertinentes (comme la mise à jour d’un champ Notes de travail ) n’entraînent pas l’exécution de la règle. Autre exemple, une condition de filtre peut spécifier que la règle de gestion des alertes s’exécute uniquement lorsque la gravité de l’alerte est critique.Vous pouvez effectuer les actions suivantes :
- Spécifiez un filtre qui détermine les alertes auxquelles la règle s’applique.
- Dans la section Conditions de liste connexe du formulaire, configurez des conditions supplémentaires, par exemple, avec une Alert > Parent relation, pour filtrer toutes les alertes reçues aujourd’hui.
- Répondre aux alertes. Par exemple, à l’aide de flux secondaires et de workflows, créez des incidents pour les alertes primaires de gravité critique ou ouvrez un moteur de recherche dans un navigateur pour rechercher des données en fonction du champ de description de l’alerte.
- Appliquer un rattrapage. La correction est basée sur les workflows Orchestration qui peuvent être scriptés pour effectuer des tâches de correction telles que la collecte d’informations système ou le redémarrage d’un serveur.Remarque :Pour améliorer les performances des travaux planifiés, utilisez des Event Management - Evaluate Scoped Alert Rules Management flux secondaires au lieu de workflows.
Travaux planifiés qui vérifient les règles de gestion des alertes
Les règles de gestion des alertes sont vérifiées toutes les 11 secondes par la tâche planifiée par défaut Event Management - Evaluate Scoped Alert Rules Management0 . La tâche exécute ensuite les actions requises. Pour les environnements à grande échelle, vous pouvez ajouter plus d’une tâche. Veuillez contacter Service et assistance client.Ne modifiez pas la sn_em_arm.alert_management.num_of_jobs propriété.
Par défaut, les tâches de regroupement d’alertes (Analyse de services regroupent les alertes à l’aide de RCA/Agrégation d’alertes) et de gestion des alertes (Gestion des événements : évaluer la gestion des règles d’alerte dans le champ d’application0) s’exécutent indépendamment l’une de l’autre. Pour plus d’informations sur la coordination de la réponse aux alertes et le regroupement automatisé d’alertes, reportez-vous à la section Synchronisation de la réponse aux alertes avec le regroupement automatisé d’alertes.