Use Portal de erros conhecidos e o. Comunidade para ajudá-lo a encontrar problemas de informação.

Preferências gerais

Integridade pessoal

Por padrão, o recurso de monitoramento de integridade automática não está habilitado. Para habilitá-lo, navegue até Gestão de eventos > Configurações > Propriedades e selecione Sim para Enable Event Management self-health monitoring(evt_mgmt.self_health_active) propriedade. Use este recurso para monitorar e rastrear muitos Gestão de eventos recursos.

Nota:

ICs usados no serviço de autointegridade são criados no CMDB.

Use as configurações a seguir para ajudar a evitar a degradação do desempenho.

Tópico	Detalhes
Regras de negócio	Evite escrever regras de negócios para tabelas de evento [em_event], pois elas não são executadas na URL REST padrão atual que é usada para injeção de eventos. As regras de negócio que são escritas para as tabelas ALERT [em_alert] devem ser altamente eficientes ou podem resultar em degradação do desempenho. Em vez de escrever uma regra de negócio, considere se é mais apropriado escrever um trabalho. Uma regra de negócios ineficiente pode causar falha na criação de um incidente para um alerta e falha no cálculo do impacto do alerta. Não grave regras de negócios assíncronas para tabelas de alerta. As regras de negócio não devem mudar o. Categoria campo nas tabelas de evento [em_event].
Escalonamento	Verifique o tempo médio de processamento do evento antes de aumentar o rendimento do evento ao iniciar pela primeira vez com Gestão de eventos. Faça esta verificação depois que um fluxo inicial de eventos e todas as regras estiverem em vigor. Se o tempo de processamento levar mais de alguns milissegundos por evento, determine a causa da desaceleração do processamento antes de continuar a escalar. A duração do desempenho pode ser verificada na tabela Estatísticas de desempenho [sa_performance_statics].
Configurar para ambientes de grande escala	Defina Habilitar o processamento de eventos de vários nós ( evt_mgmt.event_processor_enable_multi_nodepropriedade ) para Sim . Habilite vários nós em ambientes de produção e defina valores com base no tamanho da implantação e na taxa de eventos esperada. Defina Número de eventos de processamento de trabalhos agendados ( evt_mgmt.event_processor_job_countpropriedade ) para 4 . Se você estiver enviando eventos de uma origem personalizada, verifique se os eventos foram Chave de mensagem ou Origem , Nó , Tipo e Recurso dados.
Problemas de latência para receber eventos	Verifique as seguintes configurações: Verifique se o Bucket o campo na tabela evento [em_event] está definido com um valor maior que zero ( 0). Navegar até Scheduler do Sistema > Trabalhos agendados e pesquise - process events*. Verifique tudo isso - process events*os trabalhos existem de acordo com Número de eventos de processamento de trabalhos agendados ( event_processor_job_countconfiguração da propriedade. Verifique se o Estado . Runningou Ready. Se o estado for Queuedou Errordefina o estado do trabalho como Ready.
Arquivar eventos	Evite mudar o tempo de retenção padrão para eventos. Para registrar eventos por mais tempo, crie uma tabela de arquivamento e um trabalho que copie novos eventos para ela. Programe um trabalho para fazer backup regular de eventos [em_event] em uma tabela personalizada. Não estenda a rotação da tabela adicionando mais dias.

Integração de evento

Interceptações SNMP

• Use uma ferramenta de monitoramento para enviar interceptações SNMP, em vez de enviá-las diretamente dos dispositivos.
• Para evitar ter que reescrever regras de evento, carregue MIBs antes de definir as regras de evento.

API de serviço web

• Usar uma API de serviço web para integração pode reduzir o número de regras de evento necessárias. Esta ação evita a necessidade de transformar eventos (os dados preparados são enviados em um evento para a instância).
• Use credenciais dedicadas para integração. Como opção, designe credenciais específicas para cada origem de evento.

CloudWatch

Use credenciais dedicadas para integrar o CloudWatch com ServiceNow.

E-mail

Use e-mail somente se a origem tiver um volume baixo e outras opções não estiverem disponíveis, como executar um script ou encaminhar uma interceptação SNMP.

Regras de evento

Definições de configuração ao criar regras de evento:

• Escreva regras de evento para aplicar ao maior número de eventos possível. Regras mais específicas podem ser criadas conforme necessário e devem usar um valor de ordem inferior.
• Se uma regra mais geral puder alcançar o mesmo resultado, evite escrever Regras de evento que se apliquem somente a um determinado subconjunto de eventos.
• Quando regras de evento são aplicadas a eventos, nenhuma mudança é feita no evento original. Todo o processamento ocorre na memória, portanto, use Processando anotações e/ou use o. Processo de verificação do evento Link de ação de IU para solucionar problemas.
• Se você mudar uma regra/transformação que tem regras de mapeamento existentes, revise e teste novamente com eventos reais ou simulados.
• Certifique-se de que De O valor do campo corresponde exatamente a uma cadeia de caracteres no JSON no additional_infocampo de um evento. Essa correspondência acontece quando uma regra é configurada com base nas informações em um arquivo MIB. Se o arquivo MIB não for carregado, o JSON da interceptação SNMP mostrará varbinds (vinculação de variáveis) com nomes pontilhados, em vez do nome traduzido no MIB. A regra de mapeamento de campo de evento não é aplicada.
• Estabeleça uma convenção de nomenclatura consistente. Uma convenção comum é: <customer acronym>.<Event Source>.<Description>. Por exemplo, ACME.OEM.Normalize
• Se duas Regras de evento tiverem condições semelhantes definidas, use Pedido Campo para controlar qual Regra de Evento é executada.
• Use Regras de evento para associar um alerta a um IC.

Configurações adicionais para criar regras de evento:

Resultado desejado	Atividade necessária
Desduplicação eficaz e permitindo o processamento eficiente de eventos paralelos	Preencha Origem , Nó , Tipo , Recurso , Nome da métrica campos.
Vinculação de IC	Vincular ao host - preenchendo Nó e opcionalmente Identificadores de IC . Vinculação à aplicação e/ou dispositivo - preenchendo o. Identificadores de IC e Informações adicionais campo.
Correlação de alertas, usando agregação de alertas	Preencha Recurso e. Nome da métrica campos. Nota: Se o IC também estiver vinculado, a correlação de alerta será aprimorada.

Campos de evento personalizados

Incluir campos adicionais no Informações adicionais somente campo do evento.

Não adicione campos adicionais a um evento adicionando um campo personalizado à tabela Evento [em_event].

Não adicione colunas à tabela Evento [em_event].

Para obter informações sobre como incluir campos adicionais em eventos, consulte Campos de alerta personalizados.

Desduplicação

Definições de configuração para desduplicação.

• . message_key O campo é usado para desduplicação. Se valores de chave de mensagem confiáveis não forem fornecidos com o evento de origem, é importante ter um plano bem definido para construir esses identificadores.
• Se a chave de mensagem não estiver definida, a chave de mensagem padrão será <Source + Node + Type + Resource + Metric Name> .
• A diretriz é fazer com que a origem do evento preencha <Source + Node + Type + Resource + Metric Name>campos prontos para uso e preencha a chave de mensagem. Esta ação permite uma melhor distribuição do processamento de eventos entre trabalhadores e nós da instância.
• Se o evento de origem não tiver valores para esses campos, certifique-se de preenchê-los usando regras de transformação. Esta ação não afeta o processamento de eventos, mas é usada para desduplicação. Preencha o máximo possível desses campos antes de serem enviados para a instância. Esta ação fornece melhor distribuição de eventos sobre os trabalhadores do processador e, portanto, melhor rendimento e escala.

Vinculação de IC

• Sempre que possível, sempre tente vincular um alerta a um IC.
  Nota:

  Embora as regras de evento sejam definidas em eventos, os ICs estão vinculados a alertas resultantes desses eventos e não estão vinculados ao evento.
• Para vincular um host, uma máquina ou qualquer dispositivo a um IP, preencha o evento Nó Campo com um nome de host exclusivo, FQDN, IP ou endereço MAC. Se outros identificadores forem necessários para identificar um host, preencha o campo ci_identificadores com um formato JSON. O formato JSON deve conter CMDB nome e valor do campo para executar a correspondência.
  Nota:

  O evento Nó o campo deve ser preenchido a partir de uma regra de evento ou preenchido com um nome de host exclusivo da origem antes que o evento seja inserido.
• A estratégia de vinculação primária é usar o. Nó campo. . Nó o campo não é preenchido previamente no evento, ele pode ser preenchido usando regras de evento.

Configurações de alerta

Ciclo de vida do alerta

Funcionalidade de alerta geral:

• Um alerta é aberto sempre que um evento não é ignorado ou seu limite é excedido por uma regra de evento e a desduplicação não identifica o evento como pertencente a um alerta existente.
• Um alerta é encerrado quando um evento de encerramento é enviado na mesma chave de mensagem ou o alerta é encerrado manualmente.
• Um alerta será reaberto se um alerta de abertura que tenha a mesma chave de mensagem for enviado dentro do período definido nas propriedades (o padrão é uma hora).
• Se um alerta for aberto e fechado em uma taxa alta, conforme definido nas propriedades, ele se tornará oscilante. Quando essa taxa de abertura e fechamento é interrompida, o alerta sai do estado de oscilação.
• Se um incidente for aberto a partir de um alerta, esse alerta permanecerá aberto enquanto o incidente permanecer aberto. Por padrão, quando o incidente ou o alerta é encerrado, o outro também é encerrado. Este comportamento pode ser configurado usando propriedades.
• Não feche um alerta ao criar um incidente correspondente.
• Não exclua um alerta em aberto. Primeiro feche um alerta e, em seguida, exclua-o.
• Usar Confirmar para indicar que o alerta é conhecido e pode ser ignorado temporariamente.
• Não use Confirmar para marcar um alerta como precisando de atenção.
• Não crie alertas em nenhum destes estados:
  • Encerrado
  • OK
  • Abrir
• . evt_mgmt.alert_auto_close_interval a propriedade fecha alertas automaticamente após o período especificado. Não especifique 0, pois esse valor desabilita o recurso e pode levar à degradação do desempenho.
• Não crie alertas em OK estado. Em alguns sistemas de monitoramento OK indica que um problema foi resolvido, enquanto em outros sistemas de monitoramento OK é usado para denotar eventos que não são de importância operacional. Para o caso anterior, use Limpar em vez de OK Usando uma regra de mapeamento. Para o último caso, tenha uma regra Ignorar, a menos que os eventos tenham um valor específico.

Regras de ação de alerta

• Um trabalho agendado aplica regras de ação de alerta a novos Alertas a cada 11 segundos. Se uma Regra de Alerta não iniciar imediatamente, aguarde de 10 a 15 segundos antes de iniciar a solução de problemas.
• Use Pedido Campo para controlar qual Regra de Alerta será executada se duas Regras de Alerta tiverem condições semelhantes definidas.
• Use regras de ação de alerta com Modelos de tarefa para preencher valores estáticos em um incidente. Use o script do preenchedor para atribuir valores dinâmicos no incidente. O script do preenchedor pode retornar um valor de falso para anular a criação de incidentes.
• Crie um usuário chamado Gestão de eventos(ou um nome semelhante). Em seguida, Criado por campo em um modelo de tarefa (por exemplo, Incidente ) pode ser definido para indicar que o usuário foi a origem da tarefa.
• Para executar qualquer atribuição de valor dinâmico ou substituir a atribuição de valor dinâmico OOB, use EvtMgmtCustomIncidentPopulator inclusão de script.

Correção

• Sempre defina as propriedades do fluxo de trabalho de orquestração para a tabela Tarefa de correção [em_remediation_task].
• Use a Fila do ECC e. Fluxo de trabalho > Fluxo de trabalho em tempo real > Todos os Contextos para encontrar informações mais detalhadas sobre atividades de correção.

Regras de negócio

• As regras de negócio criadas em tabelas de alerta não devem levar mais de alguns milissegundos. Em vez de usar uma regra de negócios, considere se a mesma funcionalidade pode ser obtida usando um trabalho.
• Não use regras de negócio para associar um alerta a um IC. Use regras de evento para fazer vinculação em vez de usar regras de negócio.

Planejamento

• Organize a configuração de origem do evento de filtros, módulos e assim por diante em vários esforços paralelos, em vez de em série.
• Valide formatos de evento processados para garantir que os dados analisados estejam alinhados com os resultados desejados.
• Testar eventos de produção em um ambiente de não produção. Integre com gerenciadores de elementos de não produção e. ServiceNow instâncias. Se os gerenciadores de elementos de não produção não estiverem disponíveis, envie eventos dos gerenciadores de elementos para ambientes de produção e de não produção.

Painel e serviços

• Use Grupos de serviço para agrupar serviços em grupos lógicos para reduzir o número de serviços exibidos no painel Integridade do serviço.
• Importe mapas de serviço criados manualmente.

Inteligência para métricas logs e arquivos do coletor

Inteligência para métricas logs e arquivos do coletor estão localizados no caminho (MID_SERVER_DIR)/AGENTE . Use esses logs e arquivos para fins de solução de problemas e monitoramento.

Inteligência para métricas o desempenho pode ser verificado no MID Server arquivo de log quando mid.log.level MID Server o parâmetro está no modo de depuração.

Inteligência para métricas Os números de desempenho estão disponíveis na tabela Estatísticas de desempenho [sa_performance_statics]. Para exibir os números de desempenho, filtre a lista Estatísticas de desempenho para Coletor de métricas .