グループ化の自動化の作成

リリースバージョン: Australia

更新日 2026年03月12日

所要時間：14分

グループ化を自動化すると、類似のアラートをまとめて収集することで、より効果的にアラートを管理できます。これにより、パターンの確認、問題の迅速な特定、効率的な対応が容易になります。この方法でアラートを整理することで、アラートのノイズを減らし、根本原因を特定して、適切なチームにアサインすることができます。

始める前に

必要なロール:evt_mgmt_admin、evt_team_operator、または srm_responder

このタスクについて

このメソッドのグループ化は、アラートがノードや場所などの共通のデータやタグを共有する場合に最も役立ちます。拡張自動化を介して入力されたフィールドまたはタグを使用できます。CMDB またはサービスマップが未成熟な場合にアラートをグループ化するには、アラートタグの使用が最適です。これは、アラート相関ルール、ML、テキストベースのグループ化など、他のグループ化アルゴリズムを補完するものです。新しいアラートが複数のグループと一致した場合でも、最初に一致したもののみがグループ化されます。これらのアルゴリズムの優先順位はシステムプロパティを使用して制御できます。相関ロジックの順序については、「アラート相関ロジックの順序の設定」を参照してください。

アラートの自動化にはシミュレーション機能も備わっており、形成されるアラートグループの数、グループ化されないまま維持されるアラートグループの数、および圧縮率をテストできます。圧縮率が高いほど、チームの生産性が向上し、根本原因をより迅速に特定できる可能性があります。ただし、グループが正確で、運用上正しく、適切なチームにアサインされているかどうか検討を行ってください。満足のいくグループが得られるまで、グループ条件を調整できます。

クラシックイベント管理エクスペリエンスに慣れているユーザーのために、この機能では、タグベースのアラートクラスタリング定義を作成するためのチームサポートが改善された、より簡単なインターフェイスを提供しています。

手順

移動先ワークスペース > サービスオペレーションワークスペース.
ナビゲーションペインの下部にある AIOps コンフィグレーションセンターアイコンを選択します。
[ ITOM AIOps コンフィグレーションセンター] ページが表示されます。構成センターは、一元化されたワークスペースです。これを使用して、AIOps 機能を 1 か所から構成および管理します。
ITOM AIOps コンフィグレーションセンターページの [最適化] セクションで、[アラートのグループ化 (Group alerts)] を選択します
[自動化を作成 (Create automation)] を選択します。
[自動化名] フィールドに、アラートをグループ化するための自動化の名前を入力します。
デフォルトでは、[ アクティブ ] チェックボックスはオンになっています。
[これらの条件が満たされている場合 (If these conditions are met)] セクションで、グループ化するアラートを識別するためのフィルター基準を設定します。
1. [アサイン先グループ] フィールドメニューからアサイン先グループを選択して、どのチームのアラートが自動化をトリガーするかを決定します。
  [アサイン先グループ] は、特定のアラートの処理を担当する特定のチームを表します。アサイン先グループを選択することで、その特定のチームにアサインされたアラートのみが自動化をトリガーするようにします。この方法により自動化は、選択したチームに関連付けられている関連アラートが対象となり、これらの関連アラートに対してのみアクティブ化されます。
  注:
  アドミニストレーターロール (evt_mgmt_admin) でインスタンスにログインしている場合は、すべてのアサイン先グループが利用可能です。さらに、[すべてのグループ] を選択して、利用可能な任意のグループのアラートの生成を有効にできます。
  
  オペレーターの場合は、自分が属しているグループのみを利用できます。
  
  選択したグループのメンバーまたはアドミニストレーターのみが、自動化を更新または削除できます。
2. フィールド、演算子、およびフィールド値を選択して、条件を設定します。次に、OR または AND 演算子を使用してさらに条件を追加します。アサイン先グループの他に、少なくとももう 1 つのフィルターを追加する必要があります。
  ヒント:
  パフォーマンスを向上させるために、より具体的なフィルターを選択します。
  別の条件セットを追加するには、[+ 新しい条件セット] を選択します。ドロップダウンリストに表示されていない場合は、追加情報フィールドを手動で追加することもできます。
[次に、次の基準でアラートをグループ化します (Then, group alerts by the following criteria)] セクションで、次の手順を実行します。
1. [グループ化の期間 (Grouping timeframe)] フィールドで、アラートを収集してグループ化する必要がある期間 (分) を指定します。
2. [ 基準タイプ ] メニューで、アラートをグループ化する方法を選択します。
  使用可能なオプションは次のとおりです。
  - 類似のフィールドとタグ:共通のフィールドまたはタグを共有するアラートをグループ化します。
    
    [ ソース] フィールドメニューで、アラートをグループ化するソースを選択します。
    
    注:
    フィールド名を手動で追加し、フィールドのタイプを選択できます。使用可能なオプションには、追加情報フィールド、アラートタグ、および CI タグが含まれます。このような柔軟性により、特定のニーズに応じてキャプチャしている情報をカスタマイズできます。
    
    [グループ化の照合メソッド (Match method for grouping)] フィールドで、完全一致、あいまい一致、またはパターン一致に基づくアラートのグループ化オプションのいずれかを選択します。
    グループ化フィールドであいまい一致メソッドの値を選択すると、[類似性しきい値 (パーセンテージ) (Similarity threshold (percentage))] フィールドが表示されます。アラートは、類似性が編集距離に基づいて指定されたパーセンテージ以上の場合にグループ化されます。
    たとえば、米国、カリフォルニア州、および米国、ニューヨーク州からのアラートがあり、アラートを国別にグループ化する場合は、[ ソース ] フィールドを場所に設定します。[グループ化の照合メソッド (Match Method for Grouping)] があいまい一致で、[類似性しきい値 (パーセンテージ) (Similarity threshold (percentage))] が 50% の場合、アラートは 50% 以上の類似性がある場合にグループ化されるため、ここでは国「米国」を共通属性として共有することになります。
    
    グループ化フィールドでパターン一致メソッドの値を選択すると、[ パターン一致 ] フィールドが表示されます。指定したパターンが一致すると、アラートがグループ化されます。詳細については、「」を参照してください。
    任意の数の文字と一致させる場合は検索文字列にアスタリスク (*) を使用し、任意の 1 文字と一致させる場合は疑問符 (?) を使用します。検索文字列内の他のすべてのものはそれ自体と一致します。たとえば、すべての HTTP 500 エラーと一致させるには、"HTTP Error 5??" を使用します。
  - 関連 CI:親/子 (VM > host)、兄弟関係 (同じホスト上の複数の VM など)、格納 (プロセス > application > サーバー)、およびアプリケーション内でコンポーネントがどのようにやり取りするかを説明する適用可能なフロー。簡単に言うと、基礎となるインフラストラクチャコンポーネントが接続されているために、これらのアラートが接続されます。
  - 関連するログプロパティ:ヘルスログアナリティクス (HLA) アラートは、基礎となるログが HLA アルゴリズムによって検出されたパターンに基づいて関連しているように見えるため、グループ化されています。
    アラートタグまたは CMDB ロジックと組み合わせて、HLA アラートの関連するログプロパティに基づいてアラートグループを作成できます。関連するログプロパティの使用を選択すると、ログアナリティクスアラートのみがグループ化の対象と見なされます。CMDB やサービスベースのグループ化などの他のルールが最初にログアナリティクスアラートを評価してグループ化できるように、関連するログプロパティルールをルール順の後半で実行します。
  - 影響を受けるサービスインスタンス:アラートは、アラート CI 間のトポロジ距離 (ホップ) に関係なく、同じサービスインスタンスに影響を与えるため、グループ化されます。
    影響を受ける関連サービスインスタンスを指定することで、考慮する必要があるサービスインスタンスを制御できます。[ 影響を受けるサービスインスタンス] を選択すると、[ 任意のサービスインスタンス ] と [特定のサービスインスタンス] の 2 つのオプションを使用できます。[ 特定のサービスインスタンス] を選択した場合は、リストから 1 つ以上のサービスインスタンスを選択するか、検索アイコン ( ) を選択して [ 影響を受けるサービスインスタンスを選択] ポップアップを開き、必要なサービスインスタンスを選択できます。
    デフォルトでは、影響を受けるサービスインスタンスのグループ化基準は、影響を受けるサービスに基づいています。また、[svc_ci_assoc] テーブルのサービスの関連付けを使用するように構成することもできます。sa_analytics.use_impacted_services_for_mixed_groupingシステムプロパティを使用して、影響を受けるサービスを使用するか、サービスの関連付けを使用するかを制御できます。プロパティ値が true の場合、アラートは影響を受けるサービス別にグループ化され、プロパティ値が false の場合、アラートはサービスの関連性別にグループ化されます。
3. グループ化に追加のフィールドを含めるには、[+ 基準を追加 (+ Add criteria)] を選択します。
[ 詳細オプション ] セクションでは、次の操作を実行できます。
- トグルスイッチを有効にして、グループを形成するために必要なアラートの最小数を設定します。有効にすると、[ グループ内のアラートの最小数 (Minimum number of alerts in the group )] フィールドが表示され、数値を入力できます。デフォルト値は 2 です。つまり、2 つ以上のアラートがある場合にのみグループ化が行われます。
- 少なくとも 1 つのアラートが定義した特定の条件を満たしている場合にのみ、切り替えスイッチを有効にしてグループを形成します。
  注:
  しきい値と必須アラートは、アラートグループを形成するための前提条件として機能します。しきい値は、グループの作成に必要なアラートの最小数を定義します。必須アラート条件により、グループ化が開始される前に、特定の意味のあるアラートが少なくとも 1 つ存在することを確認できます。そのアラートが存在しない場合、他の複数のアラートがある場合でも、グループは作成されません。つまり、両方の条件が満たされた場合にのみグループが作成されます。
  例:複数のポートを持つネットワークスイッチで、個々のポートまたはスイッチ自体でアラートが発生する可能性があるとします。ポートレベルの問題がある場合にのみではなく、スイッチが影響を受ける場合にのみグループを作成する必要があります。このセットアップでは、アラートが 1 つ以上のポートでのみ発生すると、グループは作成されません。グループは、スイッチでアラートが発生し、そのポートで 1 つ以上のアラートが発生した場合にのみ作成されます。これにより、グループ化はスイッチに関連する大規模で意味のある問題に対してのみ行われ、軽微なポートや分離されたポートの問題に対しては行われません。これは、不要なアラートグループが作成されないようにし、より重要で意味のある問題に集中できるようにし、マイナーアラートや個別のアラートによって発生するノイズを低減できるため便利です。
[自動化の詳細 (Automation details)] セクションで、順序と自動化の説明を入力します。
1. [順序] フィールドに、自動化の順序を入力します。
  
  注:
  アラートは、最初の一致に基づいてグループ化され、番号の小さいものから大きいものの順で実行されます。[自動化の管理担当者 (Automation is managed by)] フィールドには、この自動化を所有、編集し、削除できるチームまたはアサイン先グループが表示されます。アサイン先グループは、[これらの条件が満たされている場合 (If these conditions are met)] セクションで定義されたものと同じです。
2. [自動化の説明 (Automation description)] フィールドに、自動化の簡単な説明を入力します。
アラートのグループ化が正しく機能しているかどうかをテストするには、[過去のアラートでこの自動化をテストする (Test this automation on past alerts)] に移動し、ドロップダウンリストからシミュレーションの期間を選択して、他のグループ化タイプを考慮するかどうかを選択した後、[自動化をテスト (Test automation)] を選択します。
注:
[ 他のグループタイプを検討する (Consider other group types )] メニューから、[ この自動化のみ (This automation only )] または [ 他のグループタイプを検討する (Consider other group types)] を選択できます。[ この自動化 ] を選択すると、他のアラートグループタイプのみが無視されますが、[他のグループタイプを検討する] を選択すると、混合、自動、テキストベースのアラートグループ化などのすべてのアラートグループ化の自動化が含まれます。

シミュレーション中は、指定された期間のグループ化されたアラートとグループ化されていないアラートの両方が表示されます。グループ化されているアラートがある場合は、グループ化されているアラートの数が表示されます。この数を選択すると、グループ化されたアラートを表示できます。さらに、個々のアラートを選択すると、その特定のアラートの詳細が表示されます。また、アラートのグループ化条件またはフィールド値を変更し、[テストを再実行] を選択してプロセスを再度開始することもできます。
[自動化をテスト (Test automation)] セクションのヘッダーにはまた、一致するアラート、アラートグループ、グループ化されていないアラート、および圧縮も表示されます。
- [一致するアラート (Matching alerts)]：この自動化で定義された条件に一致するグループ化の前に一致するアラートの合計数。
- [アラートグループ]：自動化条件に一致する複数のアラートを含むグループの数。括弧内の小さい数字は、この自動化によって作成されたグループの数を表します。
- [グループ化されていない (Ungrouped)]：グループ化されないままの自動化条件に一致するアラートの数。
- [圧縮]：グループ化によって達成された合計アラート数の減少率。1 - (アラートグループ + グループ化されていない)/合計アラート数として計算されます。アラートを関連する問題にグループ化することで、圧縮率を向上させることができます。括弧内の小さい数値は、この自動化によって圧縮された一致するアラートの割合を示します。
- 基準タイプが [関連 CI] の場合:
  - [オープン CI の依存関係マップ] リンクが [自動化をテスト] セクションに表示されます。
  - [ 構成アイテム ] フィールドが表示されます。
[テスト自動化] セクションには、[ 説明]、[ タイプ]、および [時間] の 3 つのキー列が表示されます。[説明] 列には、アラートグループの詳細の概要が表示されます。[説明] 列の前に、そのグループに含まれる合計アラートを示す数字が表示されます。[タイプ] では、[このグループ化の自動化 (This grouping automation)]、[その他のグループ化の自動化 (Other grouping automation)]、[CMDB グループ]、[単一のアラート (Single alert)] などのグループ化のカテゴリを指定します。[その他のグループ化の自動化 (Other grouping automation)] を選択すると、グループを生成した、対応する自動化ページに移動します。さらに、[時間] 列には、テストがいつ実施されたかが表示されます。

重要:
アラートのシミュレーションは、テストインスタンスと本番インスタンスで実行できます。[自動化をテスト (Test automation)] は、指定した条件に一致する最大 200 件の最新のアラートを使用して、自動化をシミュレーションします。すべてのアラートがこの自動化の条件を満たすグループのみが考慮されますが、実際の実行時には追加のグループ化アルゴリズムが適用される場合があります。
[自動化を保存 (Save automation)] を選択します。
自動化が正常に保存されると、通知が表示されます。そうでない場合は、エラーメッセージが表示されます。作成したグループ自動化は、既存の自動化を表示、編集、または削除できる [アラートのグループ化 (Group alerts)] ページに表示されます。

次のタスク

応答自動化の作成を実装することで、チームまたは個人からの迅速な応答が必要なアラートをエスカレートできます。