Trabalhos agendados e parâmetros para agrupamento de alertas

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Automatize a organização de alertas configurando trabalhos para agrupar alertas com base em critérios e parâmetros predefinidos.

    Para agrupar alertas nos grupos Automatizado, CMDB, Baseado em texto, Cluster de marcadores e Correlação de tráfego de rede, o trabalho agendado chamado Alertas de grupo da Análise de serviços usando RCA/Agregação de alertas normalmente é executado uma vez por minuto. Este trabalho lida com o agrupamento de alertas com base no método especificado. Além disso, você pode executar vários trabalhos agendados em paralelo para gerenciar o agrupamento de alertas com mais eficiência. Para obter mais detalhes, consulte Execute vários trabalhos agendados para agrupamento de alertas.

    Para definir quais alertas são agrupados, os seguintes parâmetros são usados:
    • sa_analytics.aggregation_enabled: Este parâmetro habilita o agrupamento de alertas criado pelo trabalho de programação. Defina a propriedade Enable alert aggregation for Automated, CMDB, and Text-Based groups. verdadeiro para ativar este recurso.
      Nota:
      Esta propriedade também se aplica ao cluster de marcador e ao agrupamento de correlação de tráfego de rede.
    • sa_analytics.agg.query_dynamic_window: Por padrão, isso é definido como 10 minutos (600 segundos). Define a diferença de tempo máxima permitida entre os últimos horários de geração de eventos de dois alertas que podem ser agrupados.
    • sa_analytics.agg.query_max_group_lifetime: Este parâmetro especifica o período máximo desde a geração do primeiro alerta até o último alerta em um grupo, com um padrão de 30 minutos (1800 segundos). Se os eventos chegarem com um atraso que exceda esse período, o. sa_analytics.agg.group_expiration_timeo parâmetro pode ser usado para estender o tempo de agrupamento para além de 30 minutos.
    Nota:
    Alguns parâmetros, como sa_analytics.agg.query_dynamic_window , sa_analytics.agg.query_max_group_lifetime e sa_analytics.agg.group_expiration_time são não fornecido pronto para uso. Para usar essas propriedades, você precisa criar propriedades com os mesmos nomes e atribuir os valores necessários a elas. Para obter mais informações sobre como criar uma propriedade, consulte Add a system property.

    Exemplo: Como os alertas são agrupados

    Para agrupamento de cluster de marcador, os alertas são adicionados a um grupo com base no parâmetro de período definido nas configurações de cluster de marcador de alerta. Para agrupamento de tráfego de rede automatizado, CMDB e baseado em texto, os alertas são agregados da seguinte forma.

    Considere os seguintes alertas com o mesmo IC. (Todos eles podem ser adicionados ao mesmo grupo do CMDB).
    • Alert1: Geração de evento inicial às 01:00:00 AM
    • Alert2: Geração de evento inicial às 01:11:00 AM
    • Alert3: Geração de evento inicial às 01:13:00 AM
    • Alert4: Geração de evento inicial às 01:16:00 AM
    • Alert5: Geração de evento inicial às 01:25:00 AM
    • Alert6: Geração de evento inicial às 01:34:00 AM
    • Alert7: Geração de evento inicial às 01:43:00 AM
    Alert1 e Alert2 não estão agrupados devido ao intervalo de tempo superior a 10 minutos. Alert2 e Alert3 criam um grupo às 01:13:00 AM. A janela dinâmica de 10 minutos começa às 01:13:00 AM, com o seguinte:
    • O Alert4 é adicionado ao grupo às 01:16:00 AM, reiniciando a janela de 10 minutos.
    • Alert5 e Alert6 são adicionados ao grupo porque os horários dos eventos estão dentro da janela de 10 minutos.
    • Alert7 não foi adicionado ao grupo porque chega 9 minutos após o Alert6, excedendo o. sa_analytics.agg.query_max_group_lifetimeTempo máximo de vida útil do grupo de 30 minutos a partir da criação inicial do grupo (01:13:00 e 30 minutos: 01:43:00).
    Nota:
    Depois que um alerta é criado, a lógica de correlação é aplicada apenas uma vez. As mudanças no alerta após sua criação não são reavaliadas para correlação. Se a correlação não for estabelecida inicialmente, o alerta ainda poderá ser adicionado a um grupo posteriormente, mas somente se um novo alerta de entrada corresponder e acionar a lógica de agrupamento.