Agrupamento de alertas baseado em marcador

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • O cluster de alerta baseado em marcador permite criar facilmente grupos de alertas. É um método sem código de agrupamento de alertas que correlaciona alertas sem precisar usar o CMDB ou o treinamento de modelo. Essa maneira mais simples de agrupar alertas semelhantes reduz o ruído geral de uma grande quantidade de alertas.

    O clustering de alerta baseado em tag é habilitado imediatamente após a ativação da aplicação Mecanismo de clustering de alerta baseado em tag disponível no ServiceNow Store. Esse clustering funciona em paralelo com os algoritmos de correlação de alertas ServiceNow existentes. Os marcadores de cluster de alerta são anexados às definições em uma base de muitos para muitos (M2M). Vários marcadores podem pertencer a uma única definição e os marcadores podem pertencer a mais de uma definição. Grupos criados a partir de definições de cluster de alerta baseadas em marcador são criados como um tipo de grupo Cluster de marcador.

    O cluster de alerta baseado em marcador oferece suporte à separação de domínio.

    Primeiro, você cria marcadores de cluster de alerta, que determinam os critérios pelos quais os alertas devem formar um grupo. Defina os marcadores para exigir uma correspondência exata, uma correspondência aproximada ("difusa") ou uma correspondência de padrão de caractere.

    Você também pode usar marcadores pré-configurados, que ajudam você a começar a usar o cluster de alerta mais rapidamente. Esses marcadores predefinidos são mapeados a partir de alertas e com base nas informações contidas no campo Alerta das origens de marcador, nos marcadores de alerta ou nas informações adicionais do alerta. Se as informações necessárias estiverem ausentes e a origem do marcador selecionado for IC de alerta ou chave de IC de alerta, o marcador será preenchido com o valor do campo Item de configuração (IC) no Configuration Management Database (CMDB). Os marcadores predefinidos são reconhecíveis por sua descrição, que inclui "prontos para uso".

    Você anexa um ou mais marcadores a uma definição de cluster de alerta, uma regra que indica quais condições devem ser atendidas para a correlação de alertas. Crie sua própria definição de cluster de alerta ou economize tempo selecionando uma definição predefinida fornecida com a aplicação. As definições predefinidas vêm com um marcador associado.
    Importante:
    Certifique-se de ativar as definições predefinidas antes de usar. Em novos sistemas, várias definições estão ativas por padrão. Os restantes devem ser ativados. Para obter mais informações, consulte Ativar uma definição de cluster de alerta predefinida.

    Depois de anexar um ou mais marcadores de cluster de alerta a uma definição, o sistema coleta os alertas e verifica se os marcadores correspondem a todos os valores de marcador definidos na definição. Alertas com valores idênticos ou semelhantes em seus marcadores são agrupados em um grupo de alertas. Os alertas de entrada ingressam em um grupo existente quando seus marcadores correspondem aos marcadores na definição de cluster de marcador que foi usada para criar o grupo.

    Para o agrupamento de cluster de marcador, os alertas são adicionados a um grupo de acordo com o parâmetro de intervalo de tempo definido nas configurações de cluster de alerta. O intervalo de tempo entre o alerta inicial (alerta virtual) e os alertas subsequentes que chegam ao sistema é o intervalo de tempo considerado. Se dois novos alertas forem recebidos, a diferença de tempo entre eles será medida. Se essa diferença de tempo estiver dentro do intervalo de tempo definido, os alertas serão adicionados ao grupo. O tempo de geração do evento inicial é usado para determinar a relevância do intervalo de tempo.