タグベースのアラートクラスタリングを使用すると、アラートのグループを簡単に作成できます。この方法ではコードを使用せずにアラートをグループ化するため、CMDB やモデルトレーニングを使用せずにアラートを関連付けることが可能です。より簡単に類似のアラートをグループ化できるため、大量のアラートの全体的なノイズが軽減されます。

タグベースのアラートクラスタリングは、ServiceNow Storeで利用可能なタグベースのアラートによるクラスタリングエンジンアプリケーションが有効化された直後に有効になります。このクラスタリングは、既存の ServiceNow アラート相関アルゴリズムと並行して動作します。アラートクラスタリングタグは、多対多 (M2M) ベースで定義に添付されます。複数のタグが単一の定義に属することができ、タグは複数の定義に属することができます。タグベースのアラートクラスタリング定義から作成されるグループは、「タグクラスター」グループタイプとして作成されます。

タグベースのアラートクラスタリングは、ドメインセパレーションをサポートしています。

まず、アラートクラスタリングタグを作成します。アラートクラスタリングタグによって、アラートをグループ化する基準が決まります。完全一致または近似 (「あいまい」) 一致、あるいは文字パターンの一致を要求するようにタグを設定します。

事前設定されたタグを使用して、アラートクラスタリングをより迅速に開始することもできます。これらの事前定義されたタグは、タグソースのアラートフィールド、アラートタグ、またはアラートの追加情報に含まれる情報に基づいて、アラートからマッピングされます。必要な情報が不足していて、選択したタグソースがアラート CI またはアラート CI キーである場合、タグには 構成管理データベース (CMDB) の構成アイテム (CI) フィールドの値が入力されます。事前定義されたタグは、「out of the box」を含む説明で識別できます。

定義に 1 つ以上のアラートクラスタリングタグを添付すると、システムはアラートを収集し、それらのタグが定義されたすべてのタグ値に一致しているかどうかを確認します。タグに同一または類似の値を持つアラートは、アラートグループに結合されます。受信アラートは、そのタグがグループの作成に使用されたタグクラスタリング定義のタグと一致すると、既存のグループに追加されます。

タグクラスターをグループ化する場合、アラートは、アラートクラスタリング設定で定義されている期間パラメーターに従って、グループに追加されます。最初のアラート (仮想アラート) から、それ以降にアラートを受信するまでの期間が考慮されます。新しいアラートを 2 つ受信した場合は、それらのアラートの時間差が測定されます。その時間差が定義された期間内の場合、アラートはグループに追加されます。初期イベント生成時刻は、期間の関連性を判断するために使用されます。