アラートのグループ化のスケジュール済みジョブとパラメーター
事前定義されたクライテリアとパラメーターに基づいてアラートをグループ化するジョブを構成して、アラート編成を自動化します。
アラートを自動、CMDB、テキストベース、タグクラスターのグループにグループ化するために、「サービス分析での RCA/アラートアグリゲーションを使用したグループアラート (Service Analytics group alerts using RCA/Alert Aggregation)」という名前のスケジュール済みジョブが、通常は 1 分に 1 回実行されます。このジョブは、指定された方法に基づいてアラートのグループ化を処理します。また、複数のスケジュール済みジョブを並行して実行して、アラートのグループ化をより効率的に管理することができます。詳細については、「アラートグループ化のための複数のスケジュール済みジョブの実行」を参照してください。
グループ化するアラートを定義するには、次のパラメーターを使用します。
- sa_analytics.aggregation_enabled:このパラメーターにより、自動アラートグループ化を有効にできます。プロパティ「Enable alert aggregation for Automated, CMDB, and Text-Based groups」を true に設定すると、この機能がアクティブ化されます。
- sa_analytics.agg.query_dynamic_window:デフォルトでは 10 分 (600 秒) に設定されています。グループ化できる 2 つのアラートの最後のイベント生成時刻間に許容される最大時間差を定義します。
- sa_analytics.agg.query_max_group_lifetime:このパラメーターは、グループ内の最初のアラートの生成から最後のアラートの生成までの最大期間を指定します (デフォルトは 30 分 (1800 秒))。イベントの到着でこの期間を超える遅延が発生した場合は、sa_analytics.agg.group_expiration_time パラメーターを使用して、グループ化時間を 30 分を超えて延長できます。
注:
[sa_analytics.agg.query_dynamic_window]、[sa_analytics.agg.query_max_group_lifetime]、[sa_analytics.agg.group_expiration_time] などの一部のパラメーターは、すぐに利用できます。これらのプロパティを使用するには、同じ名前のプロパティを作成し、必要な値をアサインする必要があります。プロパティの作成方法の詳細については、「Add a system property」を参照してください。
例:アラートのグループ化の方法
タグクラスターをグループ化する場合、アラートは、アラートタグクラスタリング設定で定義されている期間パラメーターに基づいて、グループに追加されます。自動、CMDB、およびテキストベースのグループ化の場合、アラートは次のようにアグリゲートされます。
同じ CI を持つ次のアラートについて考えてみます。(すべてを同じ CMDB グループに追加できます)。
- アラート 1:最後のイベント生成 01:00:00 AM
- アラート 2:最後のイベント生成 01:11:00 AM
- アラート 3:最後のイベント生成 01:13:00 AM
- アラート 4:最後のイベント生成 01:16:00 AM
- アラート 5:最後のイベント生成 01:25:00 AM
- アラート 6:最後のイベント生成 01:34:00 AM
- アラート 7:最後のイベント生成 01:43:00 AM
アラート 1 とアラート 2 は、時間差が 10 分を超えているためグループ化されません。アラート 2 とアラート 3 は、01:13:00 AM にグループを作成します。10 分間の動的ウィンドウは 01:13:00 AM に開始され、次のようになります。
- アラート 4 が 01:16:00 AM にグループに追加され、10 分間のウィンドウが再開されます。
- アラート 5 とアラート 6 は、イベント時間が 10 分間のウィンドウ内にあるため、グループに追加されます。
- アラート 7 はアラート 6 の 9 分後に到着しており、最初のグループ作成から 30 分の最大グループライフタイムという sa_analytics.agg.query_max_group_lifetime 制限を超えているため、グループに追加されません (01:13:00 AM + 30 分 = 01:43:00 AM)。