Regroupement d’alertes basé sur des règles

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Le regroupement d’alertes basé sur des règles est créé par des règles de corrélation des alertes. Ces règles vous permettent de classer manuellement les alertes comme primaires ou secondaires et d’établir une relation entre elles. Utilisez des règles de corrélation d’alertes pour regrouper les alertes connexes. La règle s’exécute uniquement pour les nouvelles alertes ou les alertes dont l’état est passé de Fermé/Instable à Ouvert/Rouvert.

    Exemple : si le regroupement d’alertes basé sur des règles est appliqué, des alertes secondaires indiquant que des machines virtuelles ou des applications sur le serveur hors ligne sont également en panne et sont regroupées sous l’alerte principale, qui est l’alerte racine du serveur hors ligne. Vous pouvez afficher le regroupement d’alertes basé sur des Espace de travail pour l'exploitation des services règles dans Liste express (ITOM). Pour plus d'informations, consultez Affichage des liens entre les alertes dans des groupes d’alertes basés sur des règles.

    Alertes primaires et secondaires

    • Alerte primaire : identifie la cause première d’un groupe d’alertes et représente ses alertes secondaires.
    • Alerte secondaire : elles sont regroupées sous l’alerte primaire liée au même problème. L’objectif des alertes secondaires est de déterminer les alertes à supprimer, de réduire le bruit des alertes et de vous permettre de vous concentrer sur l’alerte principale.

    Comment les alertes primaires et secondaires interagissent

    Dans le regroupement d’alertes basé sur des règles, l’une des alertes réelles est désignée comme l’alerte principale. Les conditions de filtre des alertes primaires et secondaires spécifient quelles alertes sont classifiées comme primaires et lesquelles comme secondaires. Les critères de filtre sont appliqués à la table Alerte [em_alert].

    Dans ce regroupement d’alertes, les alertes primaires et secondaires sont visibles, mais les alertes secondaires sont regroupées sous l’alerte primaire. La propriété Conserver l’alerte secondaire ouverte même lorsque l’alerte primaire est fermée. Pour Manuelle ou Basé sur une règle (evt_mgmt.rule_based_manual_closure), contrôle si les alertes secondaires restent ouvertes ou sont fermées lorsque l’alerte primaire est fermée.

    Si la propriété n’est pas sélectionnée (c’est-à-dire définie sur Non), une fois l’alerte primaire fermée, la référence parent est supprimée des alertes secondaires (le regroupement est dissous), et les alertes secondaires sont fermées et deviennent autonomes. Si vous cochez la case de la propriété (c’est-à-dire si vous la définissez sur Oui) et que l’alerte primaire est fermée, la référence parent est supprimée des alertes secondaires (le regroupement est dissous), ce qui en fait des alertes ouvertes autonomes.

    Hiérarchie des alertes

    Un seul niveau d'alertes secondaires est autorisé. Dans les cas où une alerte secondaire possède sa propre alerte secondaire, l'application Event Management aplatit la hiérarchie pour ne conserver que deux niveaux.

    Par exemple, supposons que l'alerte A soit l'alerte primaire et que l'alerte B soit l'alerte secondaire. Si l'alerte C devient une alerte secondaire pour l'alerte B, l'application aplatit la hiérarchie de sorte que A reste l'alerte principale et que B et C deviennent des alertes secondaires sœurs, d'un niveau inférieur à A.

    Par exemple, supposons qu'il existe trois règles de corrélation qui produisent les résultats suivants :
    • Règle 1 (avec une valeur d'ordre de 1) : B devient une alerte primaire pour A.
    • Règle 2 (avec une valeur d'ordre de 2) : A devient une alerte primaire pour C et D.
    • Règle 3 (avec une valeur d'ordre de 3) : E devient une alerte primaire pour A.

    Lorsque les alertes B, C, D et E sont déclenchées, elles figurent toutes dans la liste d'alertes séparément, car il n'y a aucune corrélation entre elles.

    Lorsque l'alerte A est déclenchée :
    1. La règle 1 crée une alerte secondaire sous l'alerte B.
    2. La règle 2 crée des alertes secondaires C et D sous l’alerte A, et la hiérarchie est aplatie de sorte que A, C et D deviennent des alertes secondaires de l’alerte principale B.
    3. La règle 3 n’est pas appliquée car plusieurs parents ne sont pas autorisés - A a déjà B comme primaire.

    Par conséquent, si toutes les alertes sont déclenchées, seul B apparaît comme alerte primaire pour A, D et C, tandis que E reste une alerte autonome.