Gestão de eventos formulário de definição de agrupamento de alertas baseado em marcador

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • O formulário para criar ou modificar uma definição de cluster de alertas baseada em marcador exibe informações detalhadas sobre a definição.

    Tabela 1. Formulário de definição de cluster de alertas baseado em marcador
    Campo Descrição
    Nome Nome da definição de cluster de alertas.

    Os nomes de definição devem ser exclusivos.
    Ativo Selecione para ativar a definição. Essa opção é selecionada por padrão.
    Ordem A ordem pela qual as definições são testadas para alertas de entrada. Aqueles com valores de ordem mais baixos são testados primeiro.

    Quando um alerta corresponde a um dos filtros de definições, ele continua pesquisando mais definições.

    Valor padrão: 1000
    Domínio O domínio no qual o registro atual foi criado. Somente leitura.
    Grupo de atribuição Grupo de atribuição que trabalha no alerta.

    Se nenhum grupo de atribuição estiver definido na regra de alerta, essa regra de alerta será considerada como uma regra global.

    Quando as regras estão em execução - Primeiro as regras globais são executadas e, em seguida, as regras que pertencem ao grupo de atribuição do alerta.
    Descrição Insira uma descrição opcional da definição de cluster de alertas.
    Filtrar Defina as condições que os alertas de entrada devem atender para serem medidos pelos marcadores da definição de cluster de alertas. Se os marcadores corresponderem a alertas que existem no sistema e estão em Período de Cluster (minutos) , os alertas de entrada se juntam aos alertas existentes para formar um grupo de alertas.
    Depois de configurar o filtro, você pode clicar em Visualização botão para exibir quantos alertas existentes correspondem à condição do filtro.
    Nota:
    • Os alertas correspondentes não são incluídos automaticamente juntos em um grupo de alertas. Os alertas serão agrupados somente se tiverem marcadores de cluster de alertas correspondentes.
    • Os parâmetros de filtro diferenciam maiúsculas de minúsculas por padrão. Para desabilitar a distinção entre maiúsculas e minúsculas, defina sa_analytics.correlation_case_sensitiveparâmetro para falso .
    • Você também pode configurar campos de alerta a serem excluídos da pesquisa, usando sn_em_tbac.tag_excluded_alert_fieldspropriedade. Por padrão, os seguintes itens são excluídos por esta propriedade:
      • tipo
      • event_class
    Substituir descrição do grupo As descrições do grupo padrão começam com um prefixo "Grupo de alertas", seguido pela descrição do alerta primário no grupo. Você pode substituir esta descrição do grupo selecionando Substituir descrição do grupo caixa de seleção. Em seguida, em Descrição personalizada digite uma descrição. Esta descrição é usada como a descrição dos grupos criados por esta definição de cluster de alertas.
    Nota:
    Você não poderá salvar o formulário se tiver deixado o campo Descrição personalizada em branco ou com o texto padrão "Grupo de alertas".
    Período de cluster O tempo máximo, em minutos, permitido entre o primeiro alerta e os alertas subsequentes para que eles sejam agrupados. Por exemplo, um valor de 60 indica que qualquer alerta gerado dentro de 60 minutos do primeiro alerta no grupo (o alerta mais antigo) está incluído no grupo de alertas. Qualquer alerta gerado após essa janela de 60 minutos do alerta inicial não será incluído no grupo.

    Valores permitidos: 0-1440
    Definições de clusters de alertas baseados em marcadores M2M Selecione os marcadores de cluster de alertas a serem atribuídos à definição de cluster de alertas. Os alertas que atendem aos critérios especificados nos marcadores selecionados são incluídos no grupo de alertas.

    As opções disponíveis são os marcadores criados no Marcadores de cluster de alerta baseado em marcador página.