Criar automação de grupo

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 11 min. de leitura

    • A automação de agrupamento ajuda você a gerenciar alertas de forma mais eficaz coletando alertas semelhantes juntos. Isso facilita a visualização de padrões, a identificação rápida de problemas e a resposta eficiente. Ao organizar alertas dessa maneira, você pode reduzir o ruído de alerta, identificar as causas raiz e atribuí-las às equipes apropriadas.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin, evt_team_operator ou srm_responder

    Por Que e Quando Desempenhar Esta Tarefa

    O agrupamento desse método é mais útil quando os alertas compartilham dados ou marcadores comuns, como um nó ou local. Você pode usar campos ou marcadores preenchidos por meio de uma automação de aprimoramento. O uso de marcadores de alerta é a melhor maneira de agrupar alertas quando seu CMDB ou mapas de serviço estiverem imaturos. Isso complementa nossos outros algoritmos de agrupamento, incluindo regras de correlação de alertas, ML e agrupamento baseado em texto. Mesmo que um novo alerta seja correspondido a vários grupos, ele será agrupado somente com a primeira correspondência e você poderá controlar a ordem de prioridade desses algoritmos por meio da propriedade do sistema.Para obter informações sobre a ordem lógica de correlação, consulte Configure a ordem lógica de correlação de alertas.

    A automação de alertas também fornece um recurso de simulação que permite testar quantos grupos de alertas seriam formados, quantos ainda não foram agrupados e a taxa de compactação. Uma taxa de compactação mais alta significa que sua equipe é mais produtiva e pode ser capaz de identificar as causas raiz mais rapidamente. No entanto, considere se os grupos são precisos, operacionalmente corretos e atribuídos às equipes certas. Você pode ajustar os critérios do grupo até ficar satisfeito com os grupos resultantes.

    Para usuários familiarizados com o clássico Gestão de eventos esse recurso oferece uma interface mais fácil com suporte aprimorado para a equipe para criar definições de cluster de alertas baseadas em marcador.

    Procedimento

    1. Navegar até Espaços > Espaço de operações de serviços.
    2. Na parte inferior do painel de navegação, selecione o ícone da central de configuração de AIOps ITOMÍcone da central de configuração de AIOps.
      . ITOM A página do centro de configuração de AIOps é exibida. O centro de configuração é um espaço centralizado. Use-o para configurar e gerenciar recursos de AIOps a partir de um único local.
    3. Na página do centro de configuração de AIOps do ITOM, na seção Otimizar, selecione Alertas de grupo
    4. Selecione Criar automação .
      A página Alertas de grupo é aberta.
    5. Em Nome da automação , insira o nome da automação para agrupar alertas.
      Por padrão, o Ativo a caixa de seleção está marcada.
    6. Em Se essas condições forem atendidas configure critérios de filtro para identificar os alertas que você deseja agrupar.
      Condições de alertas de grupo.
      1. Em Grupo de atribuição menu de campo, selecione o grupo de atribuição para determinar quais alertas da equipe acionarão a automação.

        . Grupo de atribuição representa uma equipe específica responsável por lidar com determinados alertas. Ao selecionar um grupo de atribuição, você garante que somente os alertas atribuídos a essa equipe específica acionem a automação. Dessa forma, a automação é direcionada e ativa somente para alertas relevantes associados à equipe selecionada.

        Nota:
        • Se você estiver conectado à instância com uma função de administrador (evt_mgmt_admin), todos os grupos de atribuição estarão disponíveis. Você também pode selecionar Todos os grupos para habilitar a geração de alertas para qualquer um dos grupos disponíveis.
        • Se você for um operador, somente o grupo do qual você faz parte estará disponível.
        • Somente membros do grupo selecionado ou administradores podem atualizar ou excluir a automação.
      2. Defina as condições selecionando o campo, o operador e o valor do campo. Em seguida, adicione mais condições usando os operadores OR ou AND. Você deve adicionar pelo menos mais um filtro além do grupo de atribuição.
        Dica:
        Selecione um filtro mais específico para melhorar o desempenho.

        Para adicionar outro conjunto de condições, selecione Novo conjunto de condições . Você também pode adicionar manualmente um campo de informações adicional se não o vir na lista suspensa.

    7. Em Em seguida, agrupe alertas pelos seguintes critérios execute as etapas a seguir.
      Critérios de agrupamento de alertas
      1. Em Intervalo de tempo de agrupamento especifique a duração (em minutos) em que os alertas devem ser coletados e agrupados.
      2. Em Tipo de critério , selecione como você deseja agrupar os alertas.
        Opções disponíveis incluem:
        • Marcadores e campos semelhantes : Agrupa alertas que compartilham campos ou marcadores comuns.
          • Em Campo de origem , selecione a origem da qual você deseja agrupar os alertas.
            Nota:
            Você pode adicionar manualmente um nome de campo e selecionar o tipo de campo. As opções disponíveis incluem campo de informações adicionais, marcador de alerta e marcador de IC. Essa flexibilidade permite personalizar as informações que estão sendo capturadas de acordo com suas necessidades específicas.
          • Em Método de correspondência para agrupamento , selecione uma das seguintes opções: agrupar alertas com base em uma correspondência exata, correspondência difusa ou correspondência de padrão.

            Quando você seleciona um valor para o método de correspondência difusa no campo de agrupamento, o. Limite de semelhança (porcentagem) o campo se torna visível. Os alertas são agrupados quando sua semelhança é maior ou igual à porcentagem especificada com base na distância de edição.

            Por exemplo, se você tiver alertas dos EUA, CA e EUA, NY e quiser agrupar os alertas por país, defina o. Origem para o local. . Método de correspondência para agrupamento é uma correspondência difusa e Limite de semelhança (porcentagem) É 50%, os alertas serão agrupados se forem pelo menos 50% semelhantes, o que significa que compartilham o país "EUA" como um atributo comum.

          • Quando você seleciona um valor para o método de correspondência de padrão no campo de agrupamento, o. Correspondência de padrão o campo se torna visível. Os alertas são agrupados quando o padrão especificado corresponde. Para obter mais informações, consulte Pattern matching.

            Use asteriscos (*) na cadeia de caracteres de pesquisa para corresponder a qualquer número de caracteres ou a um ponto de interrogação (?) para corresponder a qualquer caractere único. O resto na cadeia de caracteres de pesquisa corresponde a si mesmo. Por exemplo, use "Erro HTTP 5??" Para corresponder a todos os erros HTTP 500.

        • ICs relacionados : Agrupe alertas de acordo com relacionamentos de IC (item de configuração), como primário/secundário (VM > Host), relacionamentos semelhantes (por exemplo, várias VMs no mesmo host), contenção (processo > aplicação > servidore fluxos de aplicações que descrevem como os componentes interagem em uma aplicação. Em termos simples, esses alertas são conectados porque os componentes de infraestrutura subjacentes estão conectados.
        • Propriedades de log relacionadas : Os alertas de Análise de logs de integridade (HLA) são agrupados porque seus logs subjacentes parecem relacionados com base nos padrões detectados pelos algoritmos de HLA.

          Você pode criar um grupo de alertas com base nas propriedades de log relacionadas em alertas de HLA combinados com marcadores de alerta ou lógica do CMDB. Quando você optar por usar propriedades de log relacionadas, somente os alertas de análise de log serão considerados para agrupamento. Execute a regra de propriedades de log relacionada posteriormente na ordem de regra para que outras regras, como CMDB ou agrupamento baseado em serviço, possam avaliar e agrupar alertas de análise de log primeiro.

        • Instâncias de serviço afetadas : Os alertas são agrupados porque afetam a mesma instância de serviço, independentemente da distância topológica (saltos) entre os ICs de alerta.

          Você pode controlar qual instância de serviço deve ser considerada especificando a instância de serviço afetada relevante. Quando você seleciona Instâncias de serviço afetadas , duas opções estão disponíveis: Qualquer instância de serviço e. Instância de serviço específica . Se você escolher Instância de serviço específica , você pode selecionar uma ou mais instâncias de serviço na lista ou selecionar o ícone de pesquisa ( ícone de pesquisa) para abrir o. Selecione instâncias de serviço afetadas e escolha as instâncias de serviço necessárias.

          Por padrão, o critério de agrupamento de instâncias de serviço afetadas é baseado no serviço afetado. Ele também pode ser configurado para usar associações de serviço da tabela [svc_ci_assoc]. Você pode controlar se deve usar serviços afetados ou associações de serviço usando o. sa_analytics.use_impacted_services_for_mixed_groupingpropriedade do sistema. Se o valor da propriedade for verdadeiro , os alertas são agrupados por serviços afetados e se o valor da propriedade for falso , os alertas são agrupados por associações de serviço.

      3. Para incluir campos adicionais para agrupamento, selecione - Adicionar critérios .
    8. Em Opções avançadas , você pode fazer o seguinte:
      • Ative o botão de alternância para definir o número mínimo de alertas necessários para formar um grupo. Quando você habilitá-lo, o. Número mínimo de alertas no grupo o campo é exibido, permitindo que você insira o número. O valor padrão é 2, o que significa que o agrupamento ocorre somente quando há dois ou mais alertas.
      • Habilite a chave de alternância para formar grupo somente se pelo menos um alerta atender a condições específicas definidas por você.
        Nota:
        O limite e o alerta necessário atuam como pré-requisitos para formar um grupo de alertas. O limite define o número mínimo de alertas necessários para criar um grupo. A condição de alerta necessária garante que pelo menos um alerta específico e significativo esteja presente antes do início do agrupamento. Se esse alerta não estiver presente, o grupo não será criado, mesmo que haja vários outros alertas. Em outras palavras, um grupo é criado somente quando ambas as condições são atendidas.

        Exemplo: Imagine um switch de rede com várias portas, em que alertas podem ocorrer em portas individuais ou no próprio switch. Você deseja que um grupo seja criado somente quando o switch for afetado, não quando houver apenas um problema no nível da porta. Nesta configuração, se os alertas ocorrerem somente em uma ou mais portas, nenhum grupo será criado. Um grupo é criado somente quando ocorre um alerta no switch junto com um ou mais alertas em suas portas. Isso garante que o agrupamento aconteça somente para problemas maiores e significativos que envolvem o switch, e não para problemas de porta menores ou isolados. Isso é útil porque impede a criação de grupos de alertas desnecessários, ajuda você a se concentrar em problemas mais importantes e significativos e reduz o ruído causado por alertas menores ou isolados.

    9. Em Detalhes da automação forneça uma descrição de pedido e automação.
      Detalhes da automação de agrupamento de alertas
      1. Em Pedido insira o pedido de automação.
        Nota:
        Os alertas são agrupados com base na primeira correspondência, executados em ordem do número mais baixo para o mais alto. . A automação é gerenciada por o campo exibe a equipe ou o grupo de atribuição que possui, edita e pode excluir esta automação. O grupo de atribuição é o mesmo definido no Se essas condições forem atendidas seção.
      2. Em Descrição da automação insira uma breve descrição da automação.
    10. Para testar se o agrupamento de alertas está funcionando corretamente, navegue até Teste esta automação em alertas anteriores , selecione o período da simulação na lista suspensa, selecione se você deseja considerar outros tipos de agrupamento e selecione Automação de testes .
      Nota:
      Em Considere outros tipos de grupo , você pode selecionar qualquer um Somente esta automação ou Considere outros tipos de grupo . Selecionando Somente esta automação ignora outros tipos de grupo de alertas ao escolher Considere outros tipos de grupo inclui todas as automações de agrupamento de alertas, como agrupamento de alertas misto, automatizado e baseado em texto.

      Durante a simulação, ele mostra os alertas agrupados e os alertas não agrupados para o período de tempo especificado. Se algum alerta estiver agrupado, você verá o número de alertas agrupados. Você pode selecionar este número para exibir os alertas agrupados. Além disso, selecionar um alerta individual exibe os detalhes desse alerta específico. Você também pode modificar quaisquer condições de agrupamento de alertas ou valores de campo e iniciar o processo novamente selecionando Teste novamente .

      Seção de automação de testes

      O cabeçalho da seção Automação de testes também exibe o seguinte: Alertas correspondentes, grupos de alertas, alertas não agrupados e compactação.
      • Alertas correspondentes : O número total de alertas correspondentes antes do agrupamento que correspondem às condições definidas para esta automação.
      • Grupos de alertas : O número de grupos que contêm mais de um alerta que correspondem às condições de automação. O número menor entre parênteses representa o número de grupos criados por esta automação.
      • Desagrupado : O número de alertas correspondentes às condições de automação que permanecem desagrupados.
      • Compactação : A porcentagem de redução no número de alertas totais obtidos por agrupamento, calculado como 1 - (grupos de alertas e desagrupados)/total de alertas. Você pode melhorar a taxa de compactação agrupando seus alertas em problemas relacionados. O número menor entre parênteses indica a porcentagem de alertas correspondentes compactados por esta automação.
      • Quando o tipo de critério é ICs relacionados :
        • . Mapa de dependência de ICs em aberto O link aparece na seção Automação de testes.
        • . Item de configuração o campo é exibido.

      A seção Automação de teste exibe três colunas principais: Descrição , Tipo e Hora . . Descrição a coluna descreve os detalhes do grupo de alertas. Antes de Descrição um número indica o total de alertas contidos nesse grupo. Tipo Especifica a categoria de agrupamento, como esta automação de agrupamento, outra automação de agrupamento, grupo do CMDB ou alerta único, entre outros. Selecionando Outra automação de agrupamento direciona você para a página de automação correspondente que gerou o grupo. Além disso, o. Tempo a coluna mostra quando o teste foi realizado.

      Importante:
      Você pode executar a simulação de alertas em seu teste, bem como na instância de produção. A automação de teste simula a automação usando até 200 alertas recentes que correspondem às condições especificadas. Ele considera somente grupos em que todos os alertas atendem às condições para esta automação, embora algoritmos de agrupamento adicionais possam ser aplicados durante o tempo de execução real.
    11. Selecione Salvar automação .
      Uma notificação é exibida quando a automação é salva com sucesso. Caso contrário, uma mensagem de erro será exibida. A automação de grupo que você criou aparece na página Alertas de grupo, onde você pode exibir, editar ou excluir a automação existente.

    O que Fazer Depois

    Você pode escalar alertas que precisam de respostas mais rápidas de equipes ou indivíduos implementando Criar automação de resposta.