アラートの自動グループ化

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • イベント管理 アラートアグリゲーションでは、履歴アラートデータに基づいてアラートを自動アラートグループに集計します。自動アラートグループは、サービスオペレーションワークスペース の Express List に表示されます。

    自動アラートグループを作成できるようにするには、[自動グループ、CMDB グループ、およびテキストベースグループのアラートのアグリゲーションを有効にします] (sa_analytics.aggregation_enabled) プロパティを true に設定します。

    Domain Support - Domain Extensions Installer が有効になっている場合、アラートアグリゲーションパターンは、sa_analytics. learner_domain_level プロパティで指定されたドメインレベルでに従ってビルドされます。デフォルトでは、このドメインレベルは 2 (ドメイン階層の第 2 ドメインレベル) に設定されています。「ドメインセパレーションと イベント管理」を参照してください。

    自動アラートグループを作成するために、アグリゲーションアルゴリズムは、同じアラート識別子 (CI とメトリクス識別子) の履歴アラートに依存しており、同じ期間に複数回実行されます。

    パターン識別子について

    デフォルトのパターン識別子は [メトリクス名] として定義されます。[パターン識別子を管理] フォームでは、パターン識別子に現在使用されているアラートフィールドを確認できます。展開する別のアラートフィールドのセットを選択するか、パターン識別子の新しいフィールドのセットを定義することができます。
    注:
    パターン識別子に使用されるアラートフィールドのセットは、機能識別子属性とも呼ばれます (または単に属性)。
    パターン識別子の指定されたアラートフィールドが有効であることを確認するには、十分な数のアラートにそれぞれ設定されたフィールドがある必要があります。したがって、パターン識別子のアラートフィールドの新しいセットを指定する場合は、次の手順に従って確実に有意な分析になるようにします。
    • それぞれのアラートフィールドを設定するイベントルールを作成します。
    • 既存の多数のアラートにパターン識別子で使用される新しいアラートフィールドのセットの値がない場合は、適切なイベントルールを使用して履歴アラートからアラートフィールドを設定する「Service Analytics Attribute Populator for Historical Alerts」ジョブを必ず実行します。CMDB CI から生成されたドット連結のプロパティは、設定されません。
    • 次のようにして有効な識別子を選択します。
      • パターンを識別できないため、パターン識別子のアラートフィールドのセットが過度に一意でないことを確認します (日付フィールドがすべてのアラートに対して一意であるなど)。
      • すべてが同じグループに含まれることにより、異なるグループを作成できないため、パターン識別子のアラートフィールドのセットが過度に一般的でないことを確認します。

    アラートフィールドのセットに基づいてアラートパターンが検出された場合、アラートは互いに関連していると見なされ、学習したパターンにグループ化されます。たとえば、同じ 優先度グループリソースを持つアラートに基づいてパターンを作成するように識別子属性を設定した場合、アラートのグループがこれらの属性に一致すると、学習した パターン レポート (イベント管理 > 管理 > 学習したパターン).

    一度に 1 つのパターン識別子属性のみをアクティブにすることができます。新しいパターン識別子属性セットは、展開するまで自動的に実装されません。新しい属性セットを展開すると、有効になっている現在の属性セットが非アクティブになります。後続のクエリでは、アクティブなパターン識別子属性を使用して、アラートアグリゲーションを実行します。

    このパターンベースのアラートアグリゲーションの主な目的は、過去 30 日間に発生した問題のパターンを見つけることです。日数は、sa_analytics.agg.learner_period_days パラメーターによって制御されます。問題を特定するために、システムは構成アイテム (CI) とパターン識別子 (機能識別子とも呼ばれる) の組み合わせを使用します。デフォルトでは、パターン識別子は [メトリクス名] として定義されますが、変更することもできます。2 つのアラートは、CI とパターン識別子が同じである場合、類似しています。ただし、[ソース]、[重大度]、[説明]、およびその他のアラートフィールドは異なる場合があります。詳しくは、「アラートアグリゲーションのパターン識別子属性の指定および管理」を参照してください。
    注:
    また、アラートアグリゲーション学習では、手動アラートグループ内のアラートのパターンも学習します。

    場合によっては、選択したフィールドで CI の値が同じであるアラートからパターンを構築できます。たとえば、[CI の場所] フィールドが同じであるアラートからパターンを構築するには、sa_analytics.agg.learner_group_by_property プロパティに「location」と入力します。詳細については、「スケジュール済みジョブのアラートアグリゲーションの設定」を参照してください。

    CI を含まないアラートは、テキストベースまたはパターンベースのアラートグループとしてグループ化できます。この場合、ノードは CI と見なされます。この機能を有効にするには、sa_analytics.enable_no_ci_grouping プロパティを [true] に設定します。CI ベースのグループで作業する場合は、[機能識別子] に [ノード] と [メトリクス名] の両方が含まれていることを確認します。機能識別子の設定の詳細については、「学習したパターンレポート」を参照してください。