Aprimorar automação

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura
  • O aprimoramento de alertas envolve transformar eventos brutos de ferramentas de monitoramento em um formato padrão, auxiliando no agrupamento e na resposta automatizados. Isso inclui extrair campos de cargas de alertas longas ou compondê-los em um formato padronizado. Além disso, você pode criar marcadores, que são metadados adicionados aos alertas para facilitar a filtragem e o agrupamento.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin ou srm_responder

    Por Que e Quando Desempenhar Esta Tarefa

    A extração usa valores dos campos de carga do evento e os coloca em campos de saída de alerta, enquanto a composição combina vários campos de alerta em um. Para obter mais informações, consulte Extraindo e compondo campos de alerta.

    Para usuários familiarizados com o clássico Gestão de eventosenrich automation oferece uma interface mais fácil com melhor suporte do teams para a etapa de transformação e composição de regras de evento. As regras de evento oferecem recursos mais avançados, como substituições de vinculação, que no momento só estão disponíveis para administradores. Os administradores também podem enriquecer alertas com regras de mapeamento de campo de evento. Além disso, alterar os valores de alerta cria uma regra de mapeamento de campo de evento com o tipo de mapeamento Mapear campo e valor de transformação (campo único) . Esta regra está vinculada à regra de evento e é executada simultaneamente, permitindo o mapeamento simplificado e a transformação de dados de evento para enriquecer os alertas.

    Procedimento

    1. Navegar até Espaços > Espaço de operações de serviços.
    2. Na navegação primária, selecione o ícone de Automação de alertas (ícone de Automação de alertas).
    3. Na página Automação de alertas, em Tipos de automação , selecione Enriquecer .
      A página Enriquecer alertas é exibida.
      Aprimorar página de automação
    4. Selecione Criar automação .
    5. Em Nome da automação insira o nome da automação para aprimorar alertas.
      Página de regra de aprimoramento, onde você pode fornecer nome de automação, definir condições e ações.
    6. Selecione a automação Ativo caixa de seleção.
    7. Para continuar executando outras automações de aprimoramento com as mesmas condições de filtro depois que esta automação for executada, habilite o. Continue executando automações deste tipo chave de alternância.
      Quando desabilitadas, automações adicionais deste tipo pararão de ser executadas depois que esta automação for executada uma vez. Se a automação for gerenciada por um administrador, ela interromperá a execução de automações de propriedade do administrador, mas continuará a executar automações de propriedade de outros grupos de atribuição.
    8. Em Se essas condições forem atendidas configurar critérios de filtro para identificar os alertas que você deseja aprimorar.

      A condição é avaliada em relação ao evento bruto recebido do sistema de monitoramento de origem e não considera os campos aprimorados.

      1. Em Grupo de atribuição menu de campo, selecione o grupo de atribuição para determinar quais alertas da equipe acionarão a automação.

        . Grupo de atribuição representa uma equipe específica responsável por lidar com determinados alertas. Ao selecionar um grupo de atribuição, você garante que somente os alertas atribuídos a essa equipe específica acionarão a automação. Dessa forma, a automação é direcionada e ativa somente para alertas relevantes associados à equipe selecionada.

        Nota:
        • Se você estiver conectado à instância com uma função de administrador (evt_mgmt_admin), todos os grupos de atribuição estarão disponíveis. Além disso, você pode selecionar Todos os grupos para habilitar a geração de alertas para qualquer um dos grupos disponíveis.
        • Se você for um operador, somente o grupo do qual você faz parte estará disponível.
        • Somente membros do grupo selecionado ou administradores podem atualizar ou excluir a automação.
      2. Em Origem menu de campo, selecione a ferramenta de monitoramento de onde o alerta é gerado.
      3. Defina as condições selecionando o campo, o operador e o valor do campo. Em seguida, adicione mais condições usando os operadores OR ou AND.

        Para adicionar outro conjunto de condições, selecione Novo conjunto de condições . Você também pode adicionar manualmente um campo de informações adicional se não o vir na lista suspensa.

    9. Em Em seguida, aplique as seguintes ações selecione as ações de automação que serão acionadas por esta automação.
      Você deve selecionar pelo menos uma ação.
      • Extrair campos de alerta : Recupera valores do campo de alerta da carga do evento e os coloca em um campo de saída de alerta.
      • Campos de cópia ou composição : Mescla vários campos de alerta, marcadores e texto para gerar uma saída de alerta composta.
      • Valores de alerta de mudança : Mapeia o valor atual dos campos de alerta para os novos valores especificados.
      OpçãoAção
      Extrair campos de alerta
      1. Habilite o. Extrair campos de alerta chave de alternância.
      2. Em Campo de entrada de origem , selecione um valor. O menu exibe os campos de evento padrão, informações adicionais e marcadores. O valor do campo é exibido. Você também pode inserir manualmente um nome de campo que não seja exibido e adicionar seu próprio valor.

        O painel de eventos de origem de exemplo exibe uma amostra de eventos recentes em seu sistema. Se nenhum evento for exibido, você poderá criar um evento, consulte Crie ou edite uma regra de evento.

      3. Em Expressão regular crie uma expressão regular para extrair o valor que você deseja extrair.
        Nota:
        Você pode compor texto usando convenções de formato de expressão regular (regex). Use um ou mais grupos de captura com parênteses para extrair partes da entrada. Os grupos de captura na expressão regular são atribuídos a saídas de alerta com base na ordem em que aparecem. O regex deve corresponder a toda a entrada, portanto, considere cercar seu regex com .* em cada extremidade Por exemplo, .acme.com.* captura o nome do host em um nome de domínio totalmente qualificado. O analisador do mecanismo regex é compatível com expressões regulares compatíveis com Perl (PCRE).
      4. Em Saída de alerta selecione um campo de alerta ou um marcador de alerta. Você também pode inserir manualmente um novo nome de campo.

        Se você quiser adicionar um marcador de alerta, selecione Definido como marcador caixa de seleção.
        Dica:
        Crie marcadores de alerta que podem ser compartilhados entre as origens para facilitar a filtragem e o agrupamento, como os marcadores prontos para uso.
        Extrair campos de alerta
      5. Selecione Visualize vários eventos para verificar se a expressão regular (regex) é de uso geral o suficiente para extrair valores corretamente em muitos exemplos.
        Nota:
        Esta opção está disponível somente quando eventos de origem de exemplo estão disponíveis e correspondem ao filtro regex.
        Visualize valores extraídos de vários eventos

      Para incluir campos adicionais para extração, selecione - Adicionar campos .

      Copiar ou redigir campos
      1. Habilite o. Campos de cópia ou composição chave de alternância.
      2. Em Campo de entrada de origem selecione campos de alerta e/ou marcadores de alerta, insira manualmente um nome de campo ou até mesmo adicione texto livre. Os campos de alerta são exibidos no (campo) formato de sintaxe.
      3. Em Saída de alerta , selecione um campo de alerta existente ou marcador de alerta ou insira manualmente um campo de alerta. . Saída de alerta o campo é um alerta aprimorado que contém os dados de alerta compostos.
        Para facilitar o agrupamento, você pode selecionar um marcador no menu. Se você quiser usar o novo nome de campo como marcador para agrupamento, selecione Definido como marcador caixa de seleção.
        Dica:
        Crie marcadores de alerta que podem ser compartilhados entre as origens para facilitar a filtragem e o agrupamento, como os marcadores prontos para uso.
        Campos de alerta de composição

      Para criar composições de dados de alerta adicionais, selecione - Adicionar campos .

      Mudar valores de alerta
      1. Habilite o. Valores de alerta de mudança chave de alternância.
      2. Em Campo de alerta , insira o campo no alerta para o qual você deseja mapear valores.
      3. Em Do valor insira o valor original no campo de alerta que você deseja mudar.
      4. Em Valor de destino insira o novo valor que substituirá o valor original no campo de alerta.

        Para adicionar mais valores de campo, selecione - Adicione valor e para adicionar mais campos ao mapa, selecione - Adicionar campo ao mapa .

    10. Em E, finalmente para continuar executando outras automações de aprimoramento com as mesmas condições de filtro após a execução desta automação, selecione Execute outras automações de alerta de aprimoramento .
      Se você selecionar Não execute outras automações de alerta de aprimoramento , automações adicionais deste tipo pararão de ser executadas depois que esta automação for executada uma vez. Se a automação for gerenciada por um administrador, ela interromperá a execução de automações de propriedade do administrador, mas continuará a executar automações de propriedade de outros grupos de atribuição.
    11. Em Detalhes da automação forneça uma descrição do pedido e da automação.
      Seção de detalhes de automação enriquecida
      1. Em Pedido insira a ordem de automação.
        Nota:
        As automações são executadas na ordem da mais baixa para a mais alta. Certifique-se de que não haja automações de aprimoramento com um número de pedido inferior que tenham condições correspondentes e tenham Aplique automações adicionais deste tipo definido como falso. Caso contrário, isso pode impedir a execução de automações subsequentes.

        . A automação é gerenciada por o campo exibe a equipe ou o grupo de atribuição que possui, edita e pode excluir esta automação. O grupo de atribuição é o mesmo definido no Se essas condições forem atendidas seção.

      2. Em Descrição da automação insira uma breve descrição da automação.
    12. Selecione Salve automação .
      Uma notificação é exibida quando a automação é salva com sucesso. Caso contrário, uma mensagem de erro será exibida. A automação de aprimoramento que você criou aparece na página Alertas de aprimoramento, onde você pode exibir, editar ou excluir a automação existente.

    O que Fazer Depois

    Você pode gerenciar alertas de forma mais eficaz agrupando alertas semelhantes com a ajuda de Criar automação de grupo.