Formular für Warnungskorrelationsregel

  • Freigeben Version: Xanadu
  • Aktualisiert 12. August 2024
  • 3 Minuten Lesedauer

    • Verwalten Sie die Felder, die definieren, wie Warnungen korreliert und gruppiert werden.

    Tabelle : 1. Formular für Warnungskorrelationsregel
    Feld Beschreibung
    Name Name der Korrelationsregel.
    Bestellung Die Auswertungspriorität für die Regel. Regeln mit niedrigeren numerischen Werten werden mit höherer Priorität behandelt. Eine Warnung wird für jede Warnungsaktionsregel ausgewertet, bis eine Übereinstimmung gefunden wird.

    Wenn Sie beispielsweise zwei Warnungskorrelationsregeln mit den Prioritäten 10 bzw. 20 haben, wird die Regel mit der Priorität 10 zuerst ausgewertet. Wenn eine Warnung die Kriterien der Regel mit Priorität 10 erfüllt, werden keine weiteren Regeln überprüft. Wenn dies nicht übereinstimmt, wird die Warnung anhand der Regel mit Priorität 20 ausgewertet.
    Aktiv Option zum Aktivieren oder Deaktivieren der Regel.
    Erweitert Option zum Wechseln in den erweiterten Modus, in dem Sie anwenderdefinierte Skripts verwenden können, um Ihre eigene Logik zu definieren. Die Beispielkorrelationsregel, Warnungskorrelationsregel SAMPLE, wird als Referenz sofort einsatzbereit bereitgestellt. Sie können das verfügbare Skript als Leitfaden verwenden.
    Hinweis:
    Die Filterbedingung gibt an, für welche Warnungen die Regel gilt. Stellen Sie sicher, dass dieselbe Bedingung im erweiterten Skript verwendet wird, um Warnungen zu identifizieren, die in die Gruppe aufgenommen werden sollen.
    Beschreibung Eine Beschreibung der Regel.
    Primäre Warnung Die Filterbedingung, welche die primäre (bzw. wichtigste) Warnung in einem Satz zugehöriger Warnungen identifiziert.

    Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
    Sekundäre Warnung Die Filterbedingung, welche die zur primären Warnung zugehörige Warnung von geringerer Bedeutung identifiziert.

    Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
    Filter Die Filterbedingung, welche die Warnung identifiziert, für die das Skript ausgeführt wird.

    Filter ist nur verfügbar, wenn Erweitert ausgewählt ist.

    Bei Filterparametern wird standardmäßig zwischen Groß- und Kleinschreibung unterschieden. Um die Unterscheidung zwischen Groß- und Kleinschreibung zu deaktivieren, setzen Sie den sa_analytics.correlation_case_sensitive-Parameter auf false.
    Beziehungstyp Geben Sie den Beziehungstyp zwischen der primären und sekundären Warnung an:
    • Keine Beziehung: Die Beziehung wird ignoriert, wenn Sie nach einer Übereinstimmung suchen.
    • Gleiches CI oder gleicher Knoten: Beziehen Sie beide Warnungen auf dasselbe CI. Wenn das CI-Feld leer ist, müssen die Warnungen denselben Knotenwert haben.
    • Primär istübergeordnet: Verknüpfen Sie die Warnungen, wobei die primäre Warnung das übergeordnete Element in einer Übergeordnet/Untergeordnet-Beziehung ist, wie in der Tabelle mit den CI-Beziehungstypen [cmdb_rel_ci] beschrieben.
    • Primär istuntergeordnet: Verknüpfen Sie die Warnungen, wobei die primäre Warnung das untergeordnete Element in einer Beziehung zwischen unter- und übergeordneten Elementen ist, wie in der CI-Beziehungstabelle [cmdb_rel_ci] beschrieben.

    Dieses Feld wird nicht angezeigt, wenn das Kontrollkästchen Erweitert aktiviert ist.
    Zeitunterschied in Minuten Die Zeitspanne in Minuten, in denen das primäre und das sekundäre Event eintreten müssen, damit diese Regel erfüllt wird. Der Standardwert beträgt 60 Minuten.
    Hinweis:
    Der Wert für diesen Eintrag kann nicht größer sein als 1440 Minuten (ein Tag).

    Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.
    Skript Ein benutzerdefiniertes Skript, durch dessen Bearbeitung Sie eine JSON-Zeichenfolge zurückgeben können, welche die primären und sekundären Warnungen angibt.

    Wählen Sie Erweitert aus, um das Skript-Feld anzuzeigen.

    
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
    Beziehung Beschreibung der CI-Beziehung zwischen den primären und sekundären Elementen, z. B. Zugeordnet von::Zugeordnet an oder Zugeordnet an::Zugeordnet von.

    Dieses Feld wird nur angezeigt, wenn entweder Primäres Element ist übergeordnet oder Primäres Element ist untergeordnet als Beziehungstyp ausgewählt ist.

    Beziehung

    Dieses Feld erscheint nicht, wenn Erweitert ausgewählt ist.