Règles de corrélation des alertes

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Les règles de corrélation des alertes vous permettent de classer manuellement les alertes dans la catégorie Primaire ou Secondaire, et d'établir une relation entre elles. Utilisez des règles de corrélation d'alertes pour regrouper les alertes associées.

    Par exemple, si un serveur de votre organisation devient hors-ligne, vous n'avez pas besoin d'afficher d'alertes supplémentaires indiquant que les ordinateurs virtuels ou les applications en cours d'exécution sur le serveur sont également en panne. Au lieu de cela, ces alertes supplémentaires, ou alertes secondaires, sont regroupées sous l'alerte racine appelée alerte primaire. Vous pouvez afficher ces alertes groupées dans la liste Express.

    Alertes primaires et secondaires

    • Une alerte primaire identifie la cause première d'un événement.
    • Une alerte secondaire est une alerte supplémentaire générée par le même événement, moins importante que l'alerte primaire.
    Le but de spécifier des alertes secondaires est d'identifier les alertes à supprimer, afin de réduire la quantité d'alertes et de se concentrer sur l'alerte primaire. Vous pouvez afficher les deux types d’alertes, mais les alertes secondaires sont regroupées sous l’alerte primaire jusqu’à ce que celle-ci soit fermée et devienne des alertes fermées autonomes. Vous pouvez afficher ces groupes dans la liste d’alertes dans Espace de travail pour l'exploitation des services.

    Lorsque vous utilisez des alertes, par défaut, les alertes secondaires sont fermées après la fermeture d’une alerte primaire dans les groupes basés sur des règles lorsque la evt_mgmt.rule_based_manual_closure propriété est définie sur non. Cette propriété est accessible à partir de la Gestion des événements page Propriétés (Gestion des événements > Paramètres > Propriétés). Une fois la propriété définie sur oui et que l’alerte primaire est fermée, la référence parent est supprimée des alertes secondaires et celles-ci deviennent des alertes ouvertes autonomes.

    Mode de fonctionnement des règles de gestion des alertes primaires et secondaires

    Les règles de gestion des alertes primaires et secondaires sont des filtres qui spécifient les types d'alertes classés comme primaires et les types d'alertes classés comme secondaires. Les critères de filtre s'exécutent par rapport à la table Alerte [em_alert].

    Seul un niveau d'alertes secondaires est autorisé dans le cadre d'une alerte primaire. Par exemple, si l'alerte secondaire A est regroupée sous l'alerte secondaire B, les deux alertes deviennent des alertes secondaires sous la même alerte primaire. Consultez la hiérarchie des alertes pour en savoir plus.

    Relations entre les alertes

    Les règles de corrélation des alertes vous permettent de spécifier le type de relation nécessaire entre les alertes primaires et secondaires pour que la règle corresponde. Ces relations dépendent des relations entre les CI dans la CMDB :
    • Aucune relation : ignorez la relation lorsque vous recherchez une correspondance.
    • Même CI ou nœud : associez les deux alertes au même CI. Si le champ CI est vide, les alertes doivent avoir la même valeur de nœud.
    • Le primaire est parent : la relation est établie du parent (primaire) vers l'enfant, comme décrit dans la table Types de relations CI [cmdb_rel_ci]).
    • Le primaire est enfant : la relation est établie de l'enfant (primaire) vers le parent, comme décrit dans la table Relations CI [cmdb_rel_ci]).

    Moment d'exécution des règles de corrélation

    Les règles de corrélation des alertes s'exécutent lorsqu'une alerte est créée ou rouverte. L'alerte est analysée pour déterminer si elle est mise en correspondance en tant qu'alerte primaire ou secondaire.

    Lorsque la gravité de l'alerte primaire passe à l'état Fermé, les alertes secondaires sont également définies sur Fermé, à moins qu'elles ne fassent partie d'autres groupes où l'alerte primaire n'est pas encore à l'état Fermé.

    Hiérarchie des alertes

    Un seul niveau d'alertes secondaires est autorisé. Dans les cas où une alerte secondaire possède sa propre alerte secondaire, l'application Event Management aplatit la hiérarchie pour ne conserver que deux niveaux.

    Par exemple, supposons que l'alerte A soit l'alerte primaire et que l'alerte B soit l'alerte secondaire. Si l'alerte C devient une alerte secondaire pour l'alerte B, l'application aplatit la hiérarchie de sorte que A reste l'alerte principale et que B et C deviennent des alertes secondaires sœurs, d'un niveau inférieur à A.

    Par exemple, supposons qu'il existe trois règles de corrélation qui produisent les résultats suivants :
    • Règle 1 (avec une valeur d'ordre de 1) : B devient une alerte primaire pour A.
    • Règle 2 (avec une valeur d'ordre de 2) : A devient une alerte primaire pour C et D.
    • Règle 3 (avec une valeur d'ordre de 3) : E devient une alerte primaire pour A.

    Lorsque les alertes B, C, D et E sont déclenchées, elles figurent toutes dans la liste d'alertes séparément, car il n'y a aucune corrélation entre elles.

    Lorsque l'alerte A est déclenchée :
    1. La règle 1 crée une alerte secondaire sous l'alerte B.
    2. La règle 2 place les alertes secondaires C et D sous l'alerte A.
    3. La règle 3 convertit A en alerte secondaire et la place sous l'alerte E ; l'alerte A dispose donc de deux alertes primaires au-dessus d'elle dans la hiérarchie.

    Par conséquent, si toutes les alertes sont déclenchées, seules les alertes B et E apparaissent dans la liste d'alertes, indiquées comme alertes primaires.

    Remarque :
    il est possible de corréler une alerte secondaire à plusieurs alertes primaires, et vice versa.