グループ化の自動化の作成
グループ化を自動化すると、類似のアラートをまとめて収集することで、より効果的にアラートを管理できます。これにより、パターンの確認、問題の迅速な特定、効率的な対応が容易になります。この方法でアラートを整理することで、アラートのノイズを減らし、根本原因を特定して、適切なチームにアサインすることができます。
始める前に
必要なロール:evt_mgmt_admin または srm_responder
このタスクについて
このメソッドのグループ化は、アラートがノードや場所などの共通のデータやタグを共有する場合に最も役立ちます。拡張自動化を介して入力されたフィールドまたはタグを使用できます。これは、CMDB またはサービスマップが未成熟な場合にアラートをグループ化する最適な方法です。これは、アラート相関ルール、CMDB、ML、テキストベースのグループ化など、他のグループ化アルゴリズムを補完するものです。アラートは最初の一致でグループ化されます。これらのアルゴリズムの優先順位をシステムプロパティを使用して制御できます。
アラートの自動化にはシミュレーション機能も備わっており、形成されるアラートグループの数、グループ化されないまま維持されるアラートグループの数、および圧縮率をテストできます。圧縮率が高いほど、チームの生産性が向上し、根本原因をより迅速に特定できる可能性があります。ただし、グループが正確で、運用上正しく、適切なチームにアサインされているかどうか検討を行ってください。満足のいくグループが得られるまで、グループ条件を調整できます。
クラシックイベント管理エクスペリエンスに慣れているユーザーのために、この機能では、タグベースのアラートクラスタリング定義を作成するためのチームサポートが改善された、より簡単なインターフェイスを提供しています。
手順
-
プライマリナビゲーションで、[アラート自動化] アイコン (
![[アラート自動化] アイコン](data:image/png;base64,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)
) を選択します。
-
[アラートの自動化 (Alert automation)] ページの [自動化タイプ (Automation types)] で、[グループ] を選択します。
[アラートのグループ化 (Group alerts)] ページが表示されます。
-
[自動化を作成 (Create automation)] を選択します。
-
[次に、次の基準でアラートをグループ化します (Then, group alerts by the following criteria)] セクションで、次の手順を実行します。
- [グループ化の期間 (Grouping timeframe)] フィールドで、アラートを収集してグループ化する必要がある期間 (分) を指定します。
- [ソース] フィールドメニューで、アラートをグループ化するソースを選択します。
- [グループ化の照合メソッド (Match method for grouping)] フィールドで、完全一致、あいまい一致、またはパターン一致に基づくアラートのグループ化オプションのいずれかを選択します。
グループ化フィールドであいまい一致メソッドの値を選択すると、[類似性しきい値 (パーセンテージ) (Similarity threshold (percentage))] フィールドが表示されます。アラートは、類似性が編集距離に基づいて指定されたパーセンテージ以上の場合にグループ化されます。
たとえば、米国、カリフォルニア州、および米国、ニューヨーク州からのアラートがあり、アラートを国別にグループ化する場合は、[ソース] フィールドを [米国] に設定します。[グループ化の照合メソッド (Match Method for Grouping)] があいまい一致で、[類似性しきい値 (パーセンテージ) (Similarity threshold (percentage))] が 50% の場合、アラートは 50% 以上の類似性がある場合にグループ化されるため、ここでは国「米国」を共通属性として共有することになります。
- グループ化フィールドでパターン一致メソッドの値を選択すると、パターン一致フィールドが表示されます。指定したパターンが一致すると、アラートがグループ化されます。詳細については、「Pattern matching」を参照してください。
任意の数の文字と一致させる場合は検索文字列にアスタリスク (*) を使用し、任意の 1 文字と一致させる場合は疑問符 (?) を使用します。検索文字列内の他のすべてのものはそれ自体と一致します。たとえば、すべての HTTP 500 エラーと一致させるには、"HTTP Error 5??" を使用します。
グループ化に追加のフィールドを含めるには、[+ フィールドを追加] を選択します。
-
[自動化の詳細 (Automation details)] セクションで、順序と自動化の説明を入力します。
- [順序] フィールドに、自動化の順序を入力します。
アラートは、最初の一致に基づいてグループ化されます。[自動化の管理担当者 (Automation is managed by)] フィールドには、この自動化を所有、編集し、削除できるチームまたはアサイン先グループが表示されます。アサイン先グループは、[これらの条件が満たされている場合 (If these conditions are met)] セクションで定義されたものと同じです。
- [自動化の説明 (Automation description)] フィールドに、自動化の簡単な説明を入力します。
- [順序] フィールドに、自動化の順序を入力します。
次のタスク
応答の自動化を実装することで、チームまたは個人からのより迅速な応答が必要なアラートをエスカレーションできます。