Créer une automatisation Enrichir

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 11 minutes de lecture

    • L’enrichissement des alertes implique la transformation des événements bruts des outils de surveillance en un format standard, ce qui facilite le regroupement et la réponse automatisés. Cela inclut l’extraction de champs à partir de longues charges utiles d’alerte ou leur composition dans un format standardisé. En outre, vous pouvez créer des balises, qui sont des métadonnées ajoutées aux alertes pour faciliter le filtrage et le regroupement.

    Avant de commencer

    Rôle requis : evt_mgmt_admin, evt_team_operator ou srm_responder

    Pourquoi et quand exécuter cette tâche

    L’extraction prend des valeurs des champs de charge utile d’événement et les place dans des champs de sortie d’alerte, tandis que la composition combine plusieurs champs d’alerte en un seul. Pour plus d'informations, consultez Extraction et composition de champs d’alerte.

    Pour les utilisateurs familiarisés avec l’expérience classique Gestion des événements , les automatisations d’enrichissement créent des règles d’événement, mais avec une interface simple et une meilleure prise en charge des équipes. Les règles d’événements offrent quelques fonctionnalités avancées telles que les seuils et l’identification de CI à l’aide d’IRE qui ne sont pas encore disponibles dans les automatisations d’enrichissement. Les administrateurs peuvent également enrichir les alertes avec des règles de mappage de champs d’événements. La modification des valeurs d’alerte crée une règle de mappage de champs d’événements avec le type de mappage Mapper le champ et la valeur de transformation (champ unique). Cette règle est liée à la règle d’événement et s’exécute simultanément, ce qui permet un mappage et une transformation rationalisés des données d’événement afin d’enrichir les alertes.

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail pour l'exploitation des services.
    2. En bas du volet de navigation, sélectionnez l’icône Centre de configuration ITOM AIOps Icône Centre de configuration AIOps.
      La ITOM page Centre de configuration AIOps s’affiche. Le centre de configuration est un espace de travail centralisé. Utilisez-le pour configurer et gérer les fonctionnalités AIOps à partir d’un seul endroit.
    3. Sur la page Centre de configuration ITOM AIOps, dans la section Optimiser, sélectionnez Enrichir les alertes.
      La page Enrichir les alertes s’affiche.
      Enrichir la page d'automatisation
    4. Sélectionnez Créer une automatisation.
      Par défaut, la case Actif est cochée.
    5. Dans le champ Nom de l’automatisation , entrez le nom de l’automatisation pour enrichir les alertes.
    6. Dans la section Si ces conditions sont remplies , définissez des critères de filtre pour identifier les alertes que vous souhaitez enrichir.

      La condition est évaluée par rapport à l’événement brut reçu du système de surveillance de la source et ne tient pas compte des champs enrichis.

      1. Dans le menu du champ Groupe d’affectation , sélectionnez le groupe d’affectation pour déterminer les alertes de l’équipe qui déclencheront l’automatisation.

        Le groupe d’affectation désigne une équipe spécifique responsable du traitement de certaines alertes. En sélectionnant un groupe d’affectation, vous vous assurez que seules les alertes affectées à cette équipe particulière déclencheront l’automatisation. De cette façon, l’automatisation est ciblée et ne s’active que pour les alertes pertinentes associées à l’équipe sélectionnée.

        Remarque :
        • Si vous êtes connecté à l’instance avec un rôle d’administrateur (evt_mgmt_admin), tous les groupes d’affectation sont disponibles. En outre, vous pouvez sélectionner Tous les groupes pour activer la génération d’alertes pour l’un des groupes disponibles.
        • Si vous êtes un opérateur d’équipe, seuls les groupes dont vous êtes membre sont disponibles.
        • Seuls les membres du groupe ou les administrateurs sélectionnés peuvent mettre à jour ou supprimer l’automatisation.
      2. Dans le menu Champ source , sélectionnez l’outil de surveillance à partir duquel l’alerte est générée.
      3. Configurez les conditions en sélectionnant le champ, l’opérateur et la valeur du champ. Ensuite, ajoutez d’autres conditions à l’aide des opérateurs OR ou ET.
        Pour ajouter un autre ensemble de conditions, sélectionnez + Nouvel ensemble de conditions. Vous pouvez également ajouter manuellement un champ d’informations supplémentaires si vous ne le voyez pas dans la liste déroulante.
        Remarque :
        Sélectionnez Charger les événements passés pour afficher les événements précédents lors de la création de l’automatisation.
        Page de règles d’enrichissement dans laquelle vous pouvez fournir le nom de l’automatisation, définir les conditions et les actions.
    7. Dans la section Ensuite, appliquez les actions suivantes , sélectionnez les actions d’automatisation qui seront déclenchées par cette automatisation.
      Vous devez sélectionner au moins une action.
      • Extraire des champs d’alerte : récupère les valeurs des champs d’alerte à partir de la charge utile de l’événement et les place dans un champ de sortie d’alerte.
      • Copier ou composer des champs : fusionne divers champs d’alerte, balises et textes pour générer une sortie d’alerte composée.
      • Changer les valeurs d’alerte : mappe la valeur actuelle des champs d’alerte à de nouvelles valeurs spécifiées.
      • Améliorer l’identification des éléments de configuration (CI) : identifie les CI autres qu’un hôte pour améliorer le regroupement des alertes, l’affectation des équipes et l’intégrité du service.
      OptionAction
      Extraire des champs d'alertes
      1. Activez le commutateur Extraire les champs .
      2. Dans le menu Extraire du champ , sélectionnez une valeur. Le menu affiche les champs d’événement standard, des informations supplémentaires et des balises. La valeur du champ s’affiche alors. Vous pouvez également entrer manuellement un nom de champ qui n’est pas affiché et ajouter votre propre valeur.

        L’exemple du volet des événements sources affiche un échantillon des événements récents dans votre système. Si aucun événement n’est affiché, vous pouvez créer un événement, reportez-vous à la section Créer ou modifier une règle d’événement.

      3. Dans le champ Expression régulière , créez une expression régulière pour extraire la valeur que vous souhaitez extraire.
        Remarque :
        Vous pouvez composer du texte à l’aide des conventions de format d’expression régulière (regex). Utilisez un ou plusieurs groupes de capture entre parenthèses pour extraire des parties de l’entrée. Les groupes de capture de l’expression régulière sont affectés aux sorties d’alerte en fonction de l’ordre dans lequel elles apparaissent. La regex doit correspondre à l’intégralité de l’entrée, envisagez donc d’entourer votre regex de .* à chaque extrémité. Par exemple, (\w+).acme.com.* capture le nom d’hôte dans un nom de domaine complet. L’analyseur du moteur regex est compatible avec les expressions régulières compatibles Perl (PCRE). Les données JSON imbriquées sont prétraitées pour supprimer les guillemets et remplacer les deux-points par des signes égaux.

      4. Dans le champ Sortie d’alerte , sélectionnez un champ d’alerte ou une balise d’alerte. Vous pouvez également entrer manuellement un nouveau nom de champ.

        Si vous souhaitez ajouter une balise d’alerte, cochez la case Définir en tant que balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Extraire des champs d'alertes
      5. Sélectionnez Prévisualiser plusieurs événements pour vérifier que l’expression régulière (regex) est suffisamment polyvalente pour extraire correctement les valeurs dans de nombreux exemples.
        Remarque :
        Cette option n’est disponible que lorsque des exemples d’événements sources sont disponibles et mis en correspondance avec le filtre regex.
        Prévisualiser les valeurs extraites de plusieurs événements

      Pour inclure des champs supplémentaires pour l’extraction, sélectionnez + Ajouter des champs.
      Copier ou composer des champs
      1. Activez le bouton bascule Copier ou composer les champs .
      2. Dans le champ Composition , sélectionnez des champs d’alerte et/ou des balises d’alerte, saisissez manuellement un nom de champ ou même ajoutez du texte libre. Les champs d’alerte sont affichés au format de syntaxe ${field} .
      3. Dans le champ Sortie vers, sélectionnez un champ d’alerte ou une balise d’alerte existant, ou saisissez manuellement un champ d’alerte. La sortie vers le champ est une alerte enrichie contenant les données d’alerte composées.
        Pour faciliter le regroupement, vous pouvez sélectionner une balise dans le menu. Si vous souhaitez utiliser le nouveau nom de champ comme balise pour le regroupement, cochez la case Définir en tant que balise .
        Conseil :
        Créez des balises d’alerte qui peuvent être partagées entre les sources pour faciliter le filtrage et le regroupement, telles que les balises prêtes à l’emploi.
        Composer des champs d’alerte

      Pour créer des compositions de données d’alerte supplémentaires, sélectionnez + Ajouter des champs.
      Changer les valeurs de l'alerte
      1. Activez le commutateur Valeurs d’alerte de changement .
      2. Dans Champ d’alerte pour changer les valeurs du champ, saisissez le champ de l’alerte pour lequel vous souhaitez mapper les valeurs.
      3. Dans le champ Quand la valeur est , entrez la valeur d’origine dans le champ d’alerte que vous souhaitez modifier.
      4. Dans le champ Change it to , saisissez la nouvelle valeur qui remplacera la valeur d’origine dans le champ d’alerte.

        Pour ajouter d’autres valeurs de champ, sélectionnez + Ajouter une valeur et pour ajouter d’autres champs à mapper, sélectionnez + Ajouter un champ à la carte.

        Changez les valeurs d’un champ dans un format plus facile à lire, à filtrer et à regrouper.
      Améliorer l'identification des éléments de configuration (CI)

      Cette option vous permet de modifier la façon dont les alertes sont liées ou liées à un élément de configuration (CI), en veillant à ce que les alertes soient associées aux composants informatiques corrects pour une meilleure visibilité et une résolution plus rapide des problèmes.

      La méthode par défaut et la plus courante de lier des alertes à des CI est basée sur le champ Nœud . Cela fonctionne immédiatement sans configuration nécessaire. Utilisez-le en remplissant le champ Nœud de votre alerte avec le nom d’un CI, un nom de domaine complet (FQDN), une adresse IP ou une adresse MAC. Cela prend en charge les CI hôtes, y compris les ordinateurs, les systèmes d’exploitation, les commutateurs, les routeurs ou tout type de CI ou toute classe étendant la table [cmdb_ci_hardware].

      Vous pouvez activer cette action pour améliorer l’identification de CI pour d’autres types de CI tels que des processus ou des instances de service. Le système recherche un CI correspondant dans la table CMDB appropriée en fonction du type de CI sélectionné. Par exemple, si vous sélectionnez Instance d’ordinateur virtuel VMware comme classe CI, le système recherche un enregistrement correspondant dans la table [cmdb_ci_vmware_instance] à l’aide des détails de l’enregistrement de règle d’événement, en particulier les champs Informations supplémentaires .

      Améliorer la section d’identification de l’élément de configuration (CI)
      1. Activez le commutateur bascule d’identification des éléments de configuration (CI) améliorés .
      2. Sélectionnez la classe CI que vous souhaitez identifier : dans le champ Classe CI, spécifiez la classe CI pour laquelle le champ de nœud de l’événement est évalué lors de l’identification des CI. Cela détermine le type de CI que le système tente d’identifier en premier.

        Sélectionnez Afficher les éléments pour afficher la liste des CI de ce type et leurs valeurs d’attribut.

      3. Identifiez le CI lorsque les champs d’alerte suivants correspondent aux attributs de CI : Dans cette section, mappez les champs d’alerte aux attributs de CI pour aider le système à trouver le CI correct :
        • Champ d’alerte : sélectionnez le champ d’alerte qui contient des informations d’identification.
        • Attribut de CI : sélectionnez l’attribut de CI vers lequel le champ d’alerte doit être mappé.
      4. Utilisez les options avancées pour contrôler la façon dont le système traite le champ de nœud d’alerte pendant l’identification des CI.
        • Comportement du champ de nœud : choisissez l’une des options suivantes :
          • Prendre en compte le champ de nœud : utilise la valeur de nœud de l’alerte lors de l’identification des CI.
          • Ignorer le champ de nœud : ignore la valeur de nœud de l’alerte.
          En fonction de la classe CI sélectionnée, le système recommande si vous devez prendre en compte ou ignorer le champ Nœud, mais vous pouvez remplacer cette recommandation si nécessaire.
        • Utiliser tous les champs d’informations supplémentaires correspondants : cochez cette case pour utiliser tous les champs correspondants des informations supplémentaires de l’événement pour l’identification des CI au lieu de mapper des champs individuels.
      5. + Ajouter une solution de secours : ajoutez des mappages de classe CI et de champs de secours pour définir une logique d’identification alternative. Si la configuration primaire n’identifie pas de CI, le système évalue chaque solution de secours dans l’ordre jusqu’à ce qu’il trouve une correspondance.

        Assurez-vous que le champ Nœud de l’alerte est renseigné correctement pour identifier un CI hôte. Le CI que vous identifiez doit avoir une relation d’exécution avec le CI hôte ou être mappé à l’hôte.

      6. Assurez-vous qu’au moins un attribut de CI est présent dans le champ Informations supplémentaires de l’alerte.

        Pour savoir comment remplir ces champs, reportez-vous à la section Définir les champs d’informations supplémentaires pour qu’ils correspondent au format d’attribut CI. Le système tente de faire correspondre les valeurs du champ Informations supplémentaires de l’alerte avec la table CI. Si une correspondance est trouvée, l’alerte est liée au CI correspondant.

      7. Sélectionnez Tester l’identification du CI pour tester l’identification du CI sur des exemples d’événements.

        Une fois l’identification des CI réussie, le système affiche un message avec les détails pertinents.L’identification du CI a réussi

        Si l’identification du CI échoue, le système affiche un message expliquant les détails.Échec de l’identification du CI

      Pour plus d’informations sur la liaison de CI, reportez-vous à la section Liaison d’alertes à des CI.
    8. Dans la section Et enfin , pour continuer à exécuter d’autres automatisations d’enrichissement avec les mêmes conditions de filtre après l’exécution de cette automatisation, sélectionnez Exécuter d’autres automatisations d’alertes d’enrichissement.
      Option permettant de choisir si vous souhaitez exécuter d’autres automatisations des alertes d’enrichissement.

      Si vous sélectionnez Ne pas exécuter d’autres automatisations d’alertes d’enrichissement, les automatisations supplémentaires de ce type cesseront de s’exécuter une fois que cette automatisation aura été exécutée. Si l’automatisation est gérée par un administrateur, elle arrête d’exécuter les automatisations appartenant à l’administrateur, mais continue d’exécuter les automatisations appartenant à d’autres groupes d’affectation.

    9. Dans la section Détails de l’automatisation , fournissez une description de l’ordre et de l’automatisation.
      Enrichir la section des détails de l’automatisation
      1. Dans le champ Commande , saisissez l’ordre d’automatisation.
        Remarque :
        Les automatisations s’exécutent dans l’ordre, de la plus basse à la plus élevée. Assurez-vous qu’il n’y a pas d’automatisations d’enrichissement avec un numéro d’ordre inférieur qui ont des conditions correspondantes et dont Appliquer des automatisations supplémentaires de ce type est défini sur faux. Sinon, cela peut empêcher l’exécution des automatisations suivantes.

        Au cours du traitement des alertes, les automatisations d’enrichissement affectées à des équipes spécifiques sont appliquées en premier, en fonction du champ Commande . Une fois celles-ci évaluées, les automatisations d’enrichissement affectées à Global/Tous les groupes sont appliquées. Si plusieurs automatisations correspondent, l’automatisation ayant la valeur d’ordre la plus élevée est sélectionnée pour améliorer l’identification des CI.

        Le champ L’automatisation est gérée par affiche l’équipe ou le groupe d’affectation qui possède, modifie et peut supprimer cette automatisation. Le groupe d’affectation est le même que celui défini dans la section Si ces conditions sont remplies .

      2. Dans le champ Description de l’automatisation , saisissez une brève description de l’automatisation.
    10. Sélectionnez Enregistrer l’automatisation.
      Une notification s’affiche lorsque l’automatisation est enregistrée avec succès. Sinon, un message d’erreur s’affiche. L’automatisation d’enrichissement que vous avez créée apparaît sur la page Enrichir les alertes où vous pouvez afficher, modifier ou supprimer l’automatisation existante.

    Que faire ensuite

    Vous pouvez gérer les alertes plus efficacement en regroupant des alertes similaires à l’aide de Créer une automatisation de groupe.