Présentation des identificateurs de modèles

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Un identificateur de modèle est un ensemble de critères ou d’attributs (tels que le type d’alerte, le système affecté, entre autres) utilisés pour regrouper des alertes similaires. Il permet d’identifier les problèmes récurrents, ce qui permet aux équipes de répondre et de résoudre plus facilement les problèmes en cours.

    Comment les identificateurs de modèle regroupent les alertes

    Envisagez un système de surveillance de réseau qui génère des alertes pour divers problèmes, tels qu’une utilisation élevée du processeur, des fuites de mémoire ou des délais de connexion.

    Identificateur de modèle : nom de la mesure et CI
    • Alerte 1 : utilisation élevée du processeur sur le serveur A à 10h00
    • Alerte 2 : utilisation élevée du processeur sur le serveur A à 10 h 05
    • Alerte 3 : fuite de mémoire sur le serveur B à 10h10
    • Alerte 4 : utilisation élevée du processeur sur le serveur A à 10 h 15
    Dans ce cas, l’identificateur de modèle peut être défini sur le nom de la mesure (par exemple, utilisation élevée du processeur) combiné à l’élément de configuration (CI) (par exemple, serveur A). Les alertes 1, 2 et 4 sont regroupées, car elles partagent la même mesure (utilisation élevée du processeur) et le même CI (serveur A), ce qui indique un problème récurrent qui peut nécessiter une enquête plus approfondie. Toutefois, l’alerte 3 ne serait pas incluse dans ce groupe car elle a une mesure (fuite de mémoire) et un CI (serveur B) différents.
    Remarque :
    L’ensemble des champs d’alerte utilisés pour l’identificateur de modèle est également appelé attributs d’identificateur de fonctionnalité ou simplement attributs.

    Comment configurer des identificateurs de modèle efficaces

    Pour configurer des identificateurs de modèle efficaces pour le regroupement d’alertes, suivez ces trois étapes clés afin de garantir une analyse précise et significative des alertes.

    Étape Action Description
    Créer une règle d'événement Définissez une règle d’événement.

    Pour savoir comment créer une règle d’événement, reportez-vous à la section Créer ou modifier une règle d'événement.

    		 Configurez une règle d’événement pour renseigner les champs d’alerte pertinents pour l’identificateur de modèle.
    Gérer l’identificateur de modèle Ajoutez le champ d’alerte approprié à l’identificateur de modèle.

    Pour savoir comment ajouter des champs à l’identificateur de modèle, reportez-vous à la section Spécifier et gérer les attributs d’identificateur de modèle pour le regroupement d’alertes.

    		 Après avoir ajouté les champs d’alerte pertinents, sélectionnez Déployer pour activer l’identificateur de modèle.
    Choisir les identificateurs pertinents Sélectionnez les champs d’alerte qui identifient clairement le problème.

    Par exemple, si le problème est qu’un service est hors ligne ou qu’il n’y a aucune connexion à la base de données, recherchez dans l’alerte des valeurs spécifiques qui l’indiquent. Ajoutez ces types de champs à l’identificateur de modèle. Par défaut, nous fournissons le champ Nom de la mesure comme identificateur de modèle.
    • Évitez les champs trop uniques (par exemple, date) qui rendent difficile l’identification des modèles.
    • Évitez les champs trop courants qui entraînent le regroupement d’un trop grand nombre d’alertes, rendant les modèles impossibles à distinguer.

    Regroupement d’alertes et schémas appris

    Découvrez comment les modèles d’alerte sont détectés, regroupés et affichés dans le système.
    Concept Description
    Découverte de modèle Lorsqu’un ensemble de champs d’alerte correspond, les alertes sont regroupées dans un « modèle appris ». Par exemple, les alertes ayant le même groupe de priorités et la même ressource sont regroupées selon un modèle.
    Génération de rapports de modèles Ces modèles sont affichés dans le rapport Schémas appris qui se trouve sous Gestion des événements > Administration > Schémas appris.

    Gestion des attributs de modèle et des délais

    Découvrez le processus de gestion des attributs d’identificateur de modèle, le déploiement de nouveaux ensembles et la façon dont le système identifie les problèmes.
    Concept Description
    Attributs d’identificateur de modèle actif Un seul ensemble d’attributs peut être actif à la fois.
    Remarque :
    Le nouvel ensemble remplace l’ensemble actuel après le déploiement.
    Objectif et calendrier Le regroupement de modèles identifie les problèmes des 30 derniers jours, contrôlés par la propriété sa_analytics.agg.learner_period_days .
    Identification du problème

    Pour identifier un problème, le système utilise une combinaison d’éléments de configuration (CI) et d’identificateurs de modèle (parfois appelés identificateurs de fonctionnalité).

    Par défaut, un identificateur de modèle est défini comme le nom de la mesure, mais il peut être modifié. Deux alertes sont considérées comme similaires si elles partagent le même CI et le même identificateur de modèle, bien que des champs tels que Source, Gravité, Description et d’autres puissent différer.

    Pour plus d'informations, consultez Spécifier et gérer les attributs d’identificateur de modèle pour le regroupement d’alertes.
    Remarque :
    L’apprenant d’agrégation d’alertes identifie également les modèles d’alertes au sein des groupes d’alertes manuelles.

    Dans certains cas, vous pouvez créer des modèles à partir d’alertes dans lesquelles les CI partagent la même valeur dans un champ spécifié. Par exemple, pour créer des modèles à partir d’alertes avec le même champ Emplacement de CI, saisissez l’emplacement dans la sa_analytics.agg.learner_group_by_property propriété. Pour en savoir plus, Configurer le regroupement d’alertes basé sur la tâche planifiée.

    Lorsque vous travaillez avec des groupes basés sur des CI, assurez-vous que l’identificateur de modèle inclut à la fois le nœud et le nom de la mesure. Pour plus d’informations sur la configuration de l’identificateur de fonction, reportez-vous à la section Rapport sur les schémas appris.

    Remarque :
    Les alertes qui n’ont pas de CI peuvent toujours être regroupées en groupes d’alertes textuelles ou basées sur CI, en traitant un nœud comme un CI. Pour activer cette fonctionnalité, définissez la propriété sa_analytics.enable_no_ci_grouping sur vrai.