Aprimorar automação
O aprimoramento de alertas envolve transformar eventos brutos de ferramentas de monitoramento em um formato padrão, auxiliando no agrupamento e na resposta automatizados. Isso inclui extrair campos de cargas de alertas longas ou compondê-los em um formato padronizado. Além disso, você pode criar marcadores, que são metadados adicionados aos alertas para facilitar a filtragem e o agrupamento.
Antes de Iniciar
Função necessária: evt_mgmt_admin ou srm_responder
Por Que e Quando Desempenhar Esta Tarefa
A extração usa valores dos campos de carga do evento e os coloca em campos de saída de alerta, enquanto a composição combina vários campos de alerta em um. Para obter mais informações, consulte Extraindo e compondo campos de alerta.
Para usuários familiarizados com o clássico Gestão de eventosenrich automation oferece uma interface mais fácil com melhor suporte do teams para a etapa de transformação e composição de regras de evento. As regras de evento oferecem recursos mais avançados, como substituições de vinculação, que no momento só estão disponíveis para administradores. Os administradores também podem enriquecer alertas com regras de mapeamento de campo de evento. Além disso, alterar os valores de alerta cria uma regra de mapeamento de campo de evento com o tipo de mapeamento Mapear campo e valor de transformação (campo único) . Esta regra está vinculada à regra de evento e é executada simultaneamente, permitindo o mapeamento simplificado e a transformação de dados de evento para enriquecer os alertas.
Procedimento
O que Fazer Depois
Você pode gerenciar alertas de forma mais eficaz agrupando alertas semelhantes com a ajuda de Criar automação de grupo.