Gestão de eventos preferências de configuração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 11 min. de leitura

    • Configurações preferenciais de propriedades e configuração geral.

    Use o. Portal de erros conhecidos e o. Comunidade para ajudar você a encontrar problemas de informação.

    Preferências gerais

    Autossubridade
    Por padrão, o recurso de monitoramento de integridade automática não está habilitado. Para habilitá-lo, navegue até Gestão de eventos > Configurações > Propriedades e selecione Sim para Enable Event Management self-health monitoring(evt_mgmt.self_health_active) propriedade. Use este recurso para monitorar e rastrear muitos Gestão de eventosrecursos.
    Nota:
    Os ICs usados no serviço de autointegridade são criados no CMDB.
    Use as configurações a seguir para ajudar a evitar a degradação do desempenho.
    Tópico Detalhes
    Regras de negócio
    • Evite escrever regras de negócios para tabelas de evento [em_event], pois elas não são executadas no URL REST padrão atual que é usado para injeção de eventos.
    • As regras de negócio que são escritas para tabelas de alerta [em_alert] devem ser altamente eficientes ou podem resultar em degradação do desempenho. Em vez de escrever uma regra de negócio, considere se é mais apropriado escrever um trabalho. Uma regra de negócios ineficiente pode causar falha na criação de incidentes para um alerta e falha no cálculo do impacto do alerta.
    • Não grave regras de negócios assíncronas para tabelas de alerta.
    • As regras de negócio não devem mudar o. Categoria campo nas tabelas de evento [em_event].
    Aumento de escala Verifique o tempo médio de processamento de eventos antes de aumentar a taxa de transferência de eventos ao começar com Gestão de eventos. Faça esta verificação depois que um fluxo inicial de eventos e todas as regras estiverem em vigor. Se o tempo de processamento levar mais de alguns milissegundos por evento, determine a causa da desaceleração do processamento antes de continuar a escalar. A duração do desempenho pode ser verificada na tabela Estatísticas de desempenho [sa_performance_statics].
    Configure para ambientes de grande escala
    • Defina o. Habilite o processamento de eventos de vários nós ( evt_mgmt.event_processor_enable_multi_node) propriedade para Sim .

      Habilite vários nós em ambientes de produção e defina valores com base no tamanho da implantação e na taxa de eventos esperada.

    • Defina o. Número de trabalhos agendados processando eventos ( evt_mgmt.event_processor_job_count) propriedade para 4 .
    • Se você estiver enviando eventos de uma origem personalizada, verifique se os eventos foram Chave da mensagem ou Origem , , Tipo e. Recurso dados.
    Problemas de latência para receber eventos Verifique as seguintes configurações:
    • Verifique se Bucket o campo na tabela de evento [em_event] está definido com um valor maior que zero ( 0).
    • Navegar até Scheduler do Sistema > Trabalhos agendados e pesquise por - process events*.

      Verifique tudo - process events*os trabalhos existem de acordo com Número de trabalhos agendados processando eventos ( event_processor_job_count) configuração da propriedade. Verifique se Estado é Runningou Ready. Se o estado for Queuedou Error, defina o estado do trabalho como Ready.
    Arquivar eventos
    • Evite alterar o tempo de retenção padrão para eventos.
    • Para registrar eventos por mais tempo, crie uma tabela de arquivamento e um trabalho que copie novos eventos para ela. Para fazer isso, programe um trabalho para fazer backup regular de eventos [em_event] em uma tabela personalizada.
    • Não estenda a rotação da tabela adicionando mais dias.

    Integração de evento

    Interceptações SNMP
    • Use uma ferramenta de monitoramento para enviar interceptações SNMP, em vez de enviá-las diretamente dos dispositivos.
    • Para evitar ter que reescrever regras de evento, carregue MIBs antes de definir as regras de evento.
    API de serviço web
    • O uso de uma API de serviço web para integração pode reduzir o número de regras de evento necessárias. Esta ação evita a necessidade de transformar eventos (os dados preparados são enviados em um evento para a instância).
    • Use credenciais dedicadas para integração. Opcionalmente, designe credenciais específicas para cada origem de evento.
    CloudWatch
    Use credenciais dedicadas para integrar o CloudWatch com ServiceNow.
    E-mail
    Use e-mail somente se a origem tiver um volume baixo e outras opções não estiverem disponíveis, como executar um script ou encaminhar uma interceptação SNMP.
    Regras de evento
    Definições de configuração ao criar regras de evento:
    • Escreva regras de evento para aplicar ao maior número possível de eventos. Regras mais específicas podem ser criadas conforme necessário e devem usar um valor de ordem inferior.
    • Se uma regra mais geral puder alcançar o mesmo resultado, evite escrever Regras de evento que se apliquem somente a um determinado subconjunto de eventos.
    • Quando as regras de evento são aplicadas a eventos, nenhuma mudança é feita no evento original. Todo o processamento ocorre na memória, portanto, use o. Processando anotações e/ou use o. Processo de verificação do evento Link de ação de IU para solucionar problemas.
    • Se você mudar uma regra/transformação que tenha regras de mapeamento existentes, revise e teste novamente com eventos reais ou simulados.
    • Certifique-se de que De O valor do campo corresponde exatamente a uma cadeia de caracteres no JSON no additional_infocampo de um evento. Essa correspondência acontece quando uma regra é configurada com base nas informações em um arquivo MIB. Se o arquivo MIB não for carregado, o JSON da interceptação SNMP mostrará varbinds (vinculação de variável) com nomes pontilhados, em vez do nome traduzido na MIB. A regra de mapeamento de campo de evento não é aplicada.
    • Estabeleça uma convenção de nomenclatura consistente. Uma convenção comum é: <customer acronym>.<Event Source>.<Description>. Por exemplo, ACME.OEM.Normalize
    • Se duas Regras de evento tiverem condições semelhantes definidas, use Pedido Campo para controlar qual regra de evento é executada.
    • Use Regras de evento para associar um alerta a um IC.
    Configurações adicionais para criar regras de evento:
    Resultado desejado Atividade necessária
    Desduplicação eficaz e permitindo o processamento eficiente de eventos paralelos Preencha o. Origem , , Tipo , Recurso , Nome da métrica campos.
    Vinculação de IC
    • Vincular ao host - preenchendo o. e opcionalmente Identificadores de IC .
    • Vinculação à aplicação e/ou dispositivo - preenchendo o. Identificadores de IC e Informações adicionais campo.
    Correlação de alertas, usando agregação de alertas Preencha o. Recurso e. Nome da métrica campos.
    Nota:
    Se o IC também estiver vinculado, a correlação de alertas será aprimorada.
    Campos de evento personalizado
    Incluir campos adicionais no Informações adicionais somente campo do evento.
    Não adicione campos adicionais a um evento adicionando um campo personalizado à tabela de evento [em_event].
    Não adicione colunas à tabela de evento [em_event].

    Para obter informações sobre como incluir campos adicionais em eventos, consulte Campos de alerta personalizados.

    Desduplicação
    Definições de configuração para desduplicação.
    • . message_key O campo é usado para desduplicação. Se valores de chave de mensagem confiáveis não forem fornecidos com o evento de origem, é importante ter um plano bem definido para a construção desses identificadores.
    • Se a chave de mensagem não estiver definida, a chave de mensagem padrão será <Source + Node + Type + Resource + Metric Name> .
    • A diretriz é fazer com que a origem do evento preencha o. <Source + Node + Type + Resource + Metric Name>e preencha a chave de mensagem. Esta ação permite uma melhor distribuição do processamento de eventos entre trabalhadores e nós da instância.
    • Se o evento de origem não tiver valores para esses campos, preencha-os usando regras de transformação. Esta ação não afeta o processamento de eventos, mas é usada para desduplicação. Preencha o máximo possível desses campos antes de serem enviados para a instância. Esta ação fornece melhor distribuição de eventos sobre os trabalhadores do processador e, portanto, melhor rendimento e escala.
    Vinculação de IC
    • Sempre que possível, sempre tente vincular um alerta a um IC.
      Nota:
      Embora as regras de evento sejam definidas em eventos, os ICs são vinculados a alertas resultantes desses eventos e não são vinculados ao evento.
    • Para vincular um host, máquina ou qualquer dispositivo com um IP, preencha o evento Campo com um nome de host exclusivo, FQDN, IP ou endereço MAC. Se outros identificadores forem necessários para identificar um host, preencha o campo ci_identifiers com um formato JSON. O formato JSON deve conter CMDB valor e nome do campo para executar a correspondência.
      Nota:
      O evento o campo deve ser preenchido a partir de uma regra de evento ou preenchido com um nome de host exclusivo da origem antes que o evento seja inserido.
    • A estratégia de vinculação primária é usar o. campo. . o campo não é preenchido previamente no evento, ele pode ser preenchido usando regras de evento.

    Configurações de alerta

    Ciclo de vida do alerta
    Funcionalidade de alerta geral:
    • Um alerta é aberto sempre que um evento não é ignorado ou seu limite é excedido por uma regra de evento, e a desduplicação não identifica o evento como pertencente a um alerta existente.
    • Um alerta é encerrado quando um evento de encerramento é enviado na mesma chave de mensagem ou o alerta é encerrado manualmente.
    • Um alerta será reaberto se um alerta de abertura que tenha a mesma chave de mensagem for enviado dentro do período definido nas propriedades (o padrão é uma hora).
    • Se um alerta for aberto e fechado a uma taxa alta, conforme definido nas propriedades, ele se tornará oscilante. Quando esta taxa de abertura e fechamento parar, o alerta sai do estado de oscilação.
    • Se um incidente for aberto a partir de um alerta, esse alerta permanecerá aberto enquanto o incidente permanecer aberto. Por padrão, quando o incidente ou o alerta é encerrado, o outro também é encerrado. Esse comportamento pode ser configurado usando propriedades.
    • Não feche um alerta ao criar um incidente correspondente.
    • Não exclua um alerta aberto. Primeiro, feche um alerta e exclua-o.
    • Uso Confirmação para indicar que o alerta é conhecido e pode ser temporariamente ignorado.
    • Não use Confirmação para marcar um alerta como precisando de atenção.
    • Não crie alertas em nenhum destes estados:
      • Encerrado
      • OK
      • Aberta
    • . evt_mgmt.alert_auto_close_interval a propriedade fecha alertas automaticamente após o período especificado. Não especifique 0, pois esse valor desabilita o recurso e pode levar à degradação do desempenho.
    • Não crie alertas em OK estado. Em alguns sistemas de monitoramento OK indica que um problema foi resolvido enquanto está em outros sistemas de monitoramento OK é usado para denotar eventos que não são de importância operacional. Para o caso anterior, use Limpar em vez de OK Usando uma regra de mapeamento. Para o último caso, tenha uma regra Ignorar, a menos que os eventos tenham um valor específico.
    Regras de ação de alerta
    • Um trabalho agendado aplica regras de ação de alerta a novos alertas a cada 11 segundos. Se uma regra de alerta não iniciar imediatamente, aguarde de 10 a 15 segundos antes de iniciar a solução de problemas.
    • Use o. Pedido Campo para controlar qual regra de alerta será executada se duas regras de alerta tiverem condições semelhantes definidas.
    • Use regras de ação de alerta com modelos de tarefa para preencher valores estáticos em um incidente. Use o script de preenchimento para atribuir valores dinâmicos no incidente. O script do preenchedor pode retornar um valor de falso para anular a criação do incidente.
    • Crie um usuário chamado Gestão de eventos(ou um nome semelhante). Em seguida, Criado por um campo em um modelo de tarefa (por exemplo, Incidente ) pode ser definido para indicar que o usuário foi a origem da tarefa.
    • Para executar qualquer atribuição de valor dinâmico ou substituir a atribuição de valor dinâmico OOB, use Populador de IncidentCustomMgmtIncidentCustomIncidenteEvtMgmtCustom inclusão de script.
    Correção
    • Sempre defina as propriedades do fluxo de trabalho de orquestração para a tabela Tarefa de correção [em_remediation_task].
    • Use Fila ECC e. Fluxo de trabalho > Fluxo de trabalho em tempo real > Todos os Contextos para encontrar informações mais detalhadas sobre atividades de correção.

    Regras de negócio

    • As regras de negócio criadas nas tabelas de alerta não devem levar mais de alguns milissegundos. Em vez de usar uma regra de negócio, considere se a mesma funcionalidade pode ser obtida usando um trabalho.
    • Não use regras de negócios para associar um alerta a um IC. Use regras de evento para fazer vinculação em vez de usar regras de negócios.

    Planejamento

    • Organize a configuração de origem do evento de filtros, módulos e assim por diante em vários esforços paralelos, em vez de em série.
    • Valide os formatos de evento processados para garantir que os dados analisados estejam alinhados com os resultados desejados.
    • Testar eventos de produção em um ambiente que não seja de produção. Integre com gerenciadores de elementos que não são de produção e. ServiceNowinstâncias. Se os gerenciadores de elementos não de produção não estiverem disponíveis, envie eventos dos gerenciadores de elementos para ambientes de produção e não produção.

    Serviços e painel

    • Use Grupos de serviço para agrupar serviços em grupos lógicos para reduzir o número de serviços exibidos no painel Integridade do serviço.
    • Importe mapas de serviço criados manualmente.

    Inteligência para métricas logs e arquivos do coletor

    Inteligência para métricasos logs e arquivos do coletor estão localizados no caminho (MID_SERVER_DIR)/AGENTE . Use esses logs e arquivos para fins de solução de problemas e monitoramento.

    Tabela 1. Local de Inteligência para métricaslogs e arquivos do coletor
    Log ou arquivo Caminho
    Arquivo de log do coletor de métrica do PowerShell Retrieve_metrics.log
    Arquivo de saída do PowerShell Work/metrics/metrics_output_.txt  
    Arquivo de entrada do PowerShell Trabalho/métricas/parâmetros_.txt

    Inteligência para métricaso desempenho pode ser verificado no MID Serverarquivo de log quando mid.log.level MID Servero parâmetro está no modo de depuração.

    Inteligência para métricas Os números de desempenho estão disponíveis na tabela Estatísticas de desempenho [sa_performance_statics]. Para exibir os números de desempenho, filtre a lista de Estatísticas de desempenho para Coletor de métricas .