Configurer l’agrégation d’alertes basée sur un modèle

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Configurez la tâche d’apprentissage Agrégation d’alertes (tâche d’apprentissage Agrégation d’alertes d’analytique de services : quotidienne), qui est une tâche hors ligne qui s’exécute quotidiennement pour traiter les alertes passées. La tâche d'apprentissage Agrégation d'alertes identifie les modèles d'alertes connexes à l'aide d'une combinaison de techniques de probabilité et basées sur des modèles.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    • La tâche d'apprentissage Agrégation d'alertes suit les ajouts et suppressions manuels d'alertes des groupes d'alertes automatisés. Dans les occurrences successives des mêmes types d'alertes avec une corrélation temporelle similaire, cette forme de commentaire est appliquée. L'agrégation d'alertes répète automatiquement les actions d'ajout ou de suppression précédemment effectuées de façon manuelle. Si vous annulez les ajouts ou suppressions d'alertes précédents à ces groupes d'alertes, le processus automatique est ajusté en conséquence.

      Vous pouvez examiner les ajouts et suppressions d'alertes d'un groupe d'alertes automatisé et annuler toute action afin qu'elle ne soit pas automatiquement répétée par l'agrégation d'alertes.

    • La tâche d'apprentissage Agrégation d'alertes apprend également les modèles d'alertes dans les groupes d'alertes manuels. Plus tard, lorsque de nouveaux flux d'alertes sont reçus, l'agrégation d'alertes forme automatiquement des groupes d'alertes en fonction de ces modèles.

    Procédure

    1. Accédez à la Tous > Gestion des événements > Administration > Propriétés de la corrélation des alertes.
    2. Activez les propriétés suivantes.
      • Activer l’agrégation d’alertes pour les groupes automatisés, CMDB et basés sur le texte (sa_analytics.aggregation_enabled).
        Remarque :
        Lorsqu’elle est désactivée, elle désactive tous les autres groupes.
      • Activer l’agrégation d’alertes pour les groupes automatisés basés sur les CI (sa_analytics.specific_patterns_enabled).
      • Activez l'agrégation d'alertes pour les groupes automatisés basés sur les classes CI (sa_analytics.generalized_patterns_enabled). L'activation de l'agrégation d'alertes par classe CI n'est pas prise en charge dans les instances séparées par domaine.
      • Propriété CMDB utilisée pour le regroupement des alertes dans l’agrégation d’alertes (uniquement pour le regroupement basé sur les CI) (sa_analytics.agg.learner_group_by_property).
        Remarque :
        • Lors de la configuration de cette propriété, assurez-vous d’utiliser le nom de colonne de la table CMDB de CI (par exemple, emplacement) et non l’étiquette de colonne (Emplacement).
        • Assurez-vous que le champ CMDB ne contient pas de valeurs trop uniques (telles que nom, sys_id, etc.). Si tel est le cas, le nombre d'alertes créées dans un groupe est limité, ce qui empêche la tâche de créer un modèle.
    3. Facultatif : Accédez à la Tous > Propriétés système > Toutes les propriétés.
    4. Facultatif : Sur la page Propriétés système, sélectionnez la sa_analytics.agg.learner_period_days propriété.
      Si la propriété n’existe pas, vous devez la définir.
    5. Facultatif : Définissez la valeur de la propriété sur le nombre de jours pendant lesquels vous souhaitez que la tâche d’apprentissage d’agrégation d’alertes soit traitée.
      Les valeurs supérieures à 30 jours augmentent le temps de traitement de la tâche. Utilisez des valeurs de 30 jours ou moins pour des performances optimales.