Regroupement d’alertes basées sur du texte

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Dans le regroupement d’alertes basé sur du texte, les alertes sont organisées et corrélées en fonction de modèles de texte ou de mots clés spécifiques dans le contenu de l’alerte. Cette approche regroupe dynamiquement les alertes qui partagent des caractéristiques textuelles similaires, telles que des messages d’erreur ou des descriptions d’événements, ce qui permet une gestion plus flexible et adaptative des alertes.

    La solution de mise en grappe des alertes EM est une méthode utilisée pour corréler les alertes en fonction des similitudes dans des champs spécifiques et pour former des grappes ou des groupes. Dans ServiceNow Gestion des événements, il crée des grappes basées sur la description, le nom de la mesure et l’élément de configuration. Champs de classe. Cette solution organise les alertes en groupes textuels et, lorsqu’une nouvelle alerte arrive, le prédicteur ML identifie le cluster approprié, en regroupant les alertes au sein du même cluster.
    Remarque :
    La tâche de prédiction ML est asynchrone et affecte des alertes en temps réel aux grappes, ce qui peut entraîner de légers retards. Ce délai peut entraîner la création de groupes textuels plusieurs minutes plus tard, car la tâche de regroupement d’alertes s’exécute une fois par minute. Si les résultats de prédiction ne sont pas disponibles pendant une exécution, ils sont revérifiés dans la tâche de regroupement suivante.

    Pour que la logique textuelle s’exécute, vous devez avoir installé le module d’extension Intelligence prédictive (com.glide.platform_ml) et activé la définition de la solution de mise en grappe des alertes EM.

    Des paramètres ou des limites spécifiques sont utilisés pour contrôler le comportement du regroupement d’alertes basées sur du texte. Ces seuils définissent les critères de regroupement des alertes en fonction des schémas de texte ou des attributs. Les seuils basés sur le texte sont les suivants :
    • Seuil de qualité de la grappe : le seuil de qualité de la grappe (sa_analytics.alert_grouping_tb_cluster_quality_threshold) détermine la qualité minimale requise pour qu’une grappe d’alertes soit considérée comme valide. Ce seuil garantit que seules les grappes présentant un niveau minimal de similarité et de fiabilité sont utilisées. Les grappes qui atteignent ce seuil sont considérées comme valides, ce qui améliore la précision des regroupements et réduit le bruit des grappes non pertinentes ou de mauvaise qualité. La plage du seuil est comprise entre 1 et 100 et la valeur par défaut est 70.
    • Seuil de classement des alertes : le seuil de classement des alertes (sa_analytics.alert_grouping_tb_alert_rank_threshold) définit le classement minimum requis pour qu’une alerte soit incluse dans un groupe. Ce seuil garantit que seules les alertes présentant un certain niveau de similarité sont regroupées, en filtrant les alertes de rang inférieur pour maintenir la qualité du groupe d’alertes. La valeur par défaut est 0,3, où des valeurs plus petites indiquent une meilleure similarité.
    Remarque :
    Pour utiliser ces propriétés, vous devez créer des propriétés portant le même nom et leur affecter les valeurs requises. Pour plus d’informations sur la création d’une propriété, reportez-vous à la section Add a system property.

    La définition de la solution de mise en grappe des alertes EM se trouve dans la table [ml_capability_definition_clustering]. Pour y accéder, accédez à Intelligence prédictive > Mise en grappe > Définitions des solutions.

    Pour vérifier si la définition de la solution est active, reportez-vous à la section Vérifier la solution de mise en grappe basée sur du texte. Pour désactiver la définition de la solution de mise en grappe des alertes EM, désactivez le regroupement d’alertes textuelles en définissant la propriété sa_analytics.text_based_group_enabled sur faux et en désactivant la case à cocher Actif dans la définition de la solution de mise en grappe des alertes EM.

    Exemple de regroupement d’alertes textuelles

    Scénario Exemple
    Problèmes de connectivité réseau : Il existe des problèmes de connectivité réseau généralisés affectant plusieurs départements.

    Les alertes de divers outils de surveillance réseau peuvent signaler des problèmes tels que segment réseau en panne, perte élevée de paquets ou problèmes de connectivité dans le sous-réseau. Le regroupement d’alertes basées sur le texte utilise la solution de mise en grappe des alertes EM et ML Predictor pour rationaliser la gestion des alertes. La solution de mise en grappe des alertes EM utilise des algorithmes de traitement du langage naturel (NLP) pour analyser et identifier les modèles de texte courants dans les alertes, tels que segment de réseau en panne ou perte élevée de paquets. Il regroupe ensuite ces alertes en fonction de la similarité de leur texte, en regroupant les problèmes connexes. Le prédicteur ML améliore encore ce processus en évaluant les nouvelles alertes en temps réel et en les affectant aux clusters existants appropriés en fonction de leurs modèles de texte.

    Ce regroupement dynamique fournit une vue consolidée des problèmes de connectivité, ce qui permet aux ingénieurs réseau de diagnostiquer rapidement et de traiter plus efficacement la cause première des problèmes.