拡張自動化の作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:12分

    • アラートの拡張は、監視ツールからの生のイベントを標準形式に変換して、自動グループ化と自動応答をサポートします。これには、長いアラートペイロードからのフィールドの抽出や、標準化された形式への変換が含まれます。また、タグを作成することもできます。タグは、フィルタリングとグループ化を容易にするためにアラートに追加されるメタデータです。

    始める前に

    必要なロール:evt_mgmt_admin、evt_team_operator、または srm_responder

    このタスクについて

    抽出では、イベントペイロードフィールドから値を取得して、アラート出力フィールドに入力します。作成では、複数のアラートフィールドを 1 つにまとめます。詳細については、「アラートフィールドの抽出と作成」を参照してください。

    従来の イベント管理 エクスペリエンスに慣れているユーザー向けに、拡張自動化ではイベントルールを作成しますが、インターフェイスが使いやすく、チームサポートも充実しています。イベントルールは、IRE を使用したしきい値や CI 識別など、拡張自動化ではまだ利用できないいくつかの高度な機能を提供します。アドミンは、イベントフィールドマッピングルールを使用してアラートを強化することもできます。アラート値を変更すると、マッピングタイプが [フィールドをマップし、値を変換 (単一フィールド)] のイベントフィールドマッピングルールが作成されます。このルールはイベントルールにリンクされ、同時に実行されるため、イベントデータのマッピングと変換を簡素化してアラートを拡張できます。

    手順

    1. 移動先 ワークスペース > サービスオペレーションワークスペース.
    2. プライマリナビゲーションで、[アラートの自動化] アイコン ( [アラートの自動化] アイコン) を選択します。
    3. [アラートの自動化 (Alert automation)] ページの [自動化の種類 (Automation types)] で、[拡張] を選択します。
      [アラートを拡張 (Enrich alerts)] ページが表示されます。
      自動化ページを拡張
    4. [自動化を作成 (Create automation)] を選択します。
      デフォルトでは、[ アクティブ ] チェックボックスはオンになっています。
    5. [自動化名 (Automation name)] フィールドに、アラートを拡張するための自動化名を入力します。
    6. [これらの条件が満たされている場合 (If these conditions are met)] セクションで、拡張するアラートを識別するためのフィルター基準を設定します。

      フィルター基準は、ソース監視システムから受信した生のイベントに対して評価され、拡張フィールドは考慮されません。

      1. [アサイン先グループ] フィールドメニューからアサイン先グループを選択して、どのチームのアラートが自動化をトリガーするかを決定します。

        [アサイン先グループ] は、特定のアラートの処理を担当する特定のチームを表します。アサイン先グループを選択することで、その特定のチームにアサインされたアラートのみが自動化をトリガーするようにします。この方法により自動化は、選択したチームに関連付けられている関連アラートが対象となり、これらの関連アラートに対してのみアクティブ化されます。

        注:
        • アドミニストレーターロール (evt_mgmt_admin) でインスタンスにログインしている場合は、すべてのアサイン先グループが利用可能です。さらに、[すべてのグループ] を選択して、利用可能な任意のグループのアラートの生成を有効にできます。
        • チームオペレーターの場合は、自分がメンバーになっているグループのみを使用できます。
        • 選択したグループのメンバーまたはアドミニストレーターのみが、自動化を更新または削除できます。
      2. [ソース] フィールドメニューから、アラートが生成される監視ツールを選択します。
      3. フィールド、演算子、およびフィールド値を選択して、条件を設定します。次に、OR または AND 演算子を使用してさらに条件を追加します。
        別の条件セットを追加するには、[+ 新しい条件セット] を選択します。ドロップダウンリストに表示されていない場合は、追加情報フィールドを手動で追加することもできます。
        注:
        [ 過去のイベントをロード ] を選択して、自動化の作成時に以前のイベントを表示します。
        自動化名を指定し、条件とアクションを設定できる [ルールの拡張 (Enrich rule)] ページ。
    7. [次に、以下のアクションを適用します (Then, apply the following actions)] セクションで、この自動化によってトリガーされる自動化アクションを選択します。
      少なくとも 1 つのアクションを選択する必要があります。
      • アラートフィールドを抽出 (Extract alert fields):イベントペイロードからアラートフィールドの値を取得し、アラート出力フィールドに入力します。
      • フィールドのコピーまたは作成 (Copy or compose fields):さまざまなアラートフィールド、タグ、およびテキストを結合して、作成済みのアラート出力を生成します。
      • アラート値の変更:アラートフィールドの現在の値を指定された新しい値にマッピングします。
      • 構成アイテム (CI) の識別の改善:ホスト以外の CI を識別して、アラートのグループ化、チームのアサイン、およびサービス健全性を向上させます。
      オプションアクション
      アラートフィールドを抽出 (Extract alert fields)
      1. [アラートフィールドを抽出 (Extract alert fields)] 切り替えスイッチを有効にします。
      2. [ソース入力フィールド (Source input field)] メニューから、値を選択します。メニューには、標準のイベントフィールド、追加情報、およびタグが表示されます。フィールド値が表示されます。表示されていないフィールド名を手動で入力し、独自の値を追加することもできます。

        [ソースイベントの例 (example source events)] ペインには、システム内の最近のイベントのサンプルが表示されます。イベントが表示されない場合は、イベントを作成できます。「イベントルールの作成または編集」を参照してください。

      3. [正規表現 (Regular expression)] フィールドで、抽出する値を抽出する正規表現を作成します。
        注:
        テキストを作成するには、正規表現 (regex) 形式の表記規則を使用します。1 つ以上のキャプチャグループを括弧とともに使用して、入力の一部を抽出します。正規表現のキャプチャ グループは、表示される順序に基づいてアラート出力に割り当てられます。正規表現は入力全体と一致する必要があるため、正規表現の各末尾を「.*」で囲むことを検討してください。たとえば、「(\w+).acme.com.*」は、完全修飾ドメイン名でホスト名をキャプチャします。正規表現エンジンのパーサーは、Perl Compatible Regular Expressions (PCRE) と互換性があります。

      4. [アラート出力 (Alert output)] フィールドで、アラートフィールドまたはアラートタグを選択します。新しいフィールド名を手動で入力することもできます。

        アラートタグを追加する場合は、[タグとして設定 (Set as a tag)] チェックボックスをオンにします。
        ヒント:
        すぐに利用可能なタグなど、ソース間で共有してフィルタリングとグループ化を容易にするアラートタグを作成します。
        アラートフィールドの抽出
      5. [複数のイベントのプレビュー (Preview multiple events)] を選択して、正規表現 (regex) が、多くの例で値を正しく抽出するのに十分な汎用性を備えていることを確認します。
        注:
        このオプションは、サンプルのソースイベントが利用可能で、正規表現フィルターと一致する場合にのみ使用できます。
        複数のイベントから抽出された値をプレビュー

      抽出に追加フィールドを含めるには、[+ フィールドを追加 (+ Add fields)] を選択します。
      フィールドのコピーまたは作成
      1. [フィールドのコピーまたは作成 (Copy or compose fields)] 切り替えスイッチを有効にします。
      2. [ソース入力フィールド (Source input field)] メニューから、アラートフィールドおよび/またはアラートタグを選択するか、フィールド名を手動で入力するか、フリーテキストを追加することができます。アラートフィールドは、${field} 構文形式で表示されます。
      3. [アラート出力 (Alert output)] フィールドで、既存のアラートフィールドまたはアラートタグを選択するか、アラートフィールドを手動で入力します。[アラート出力 (Alert output)] フィールドは、作成されたアラートデータを含む拡張アラートです。
        メニューからタグを選択して、簡単にグループ化できます。新しいフィールド名をグループ化のタグとして使用する場合は、[タグとして設定 (Set as a tag)] チェックボックスをオンにします。
        ヒント:
        すぐに利用可能なタグなど、ソース間で共有してフィルタリングとグループ化を容易にするアラートタグを作成します。
        アラートフィールドを作成 (Compose alert fields)

      追加のアラートデータ構成を作成するには、[+ フィールドを追加 (+ Add fields)] を選択します。
      アラート値の変更
      1. [ アラート値の変更 ] 切り替えスイッチを有効にします。
      2. [アラートフィールド] に、値をマップするアラートのフィールドを入力します。
      3. [開始値 (From value)] フィールドで、変更するアラートフィールドに元の値を入力します。
      4. [終了値 (To value)] フィールドに、アラートフィールドの元の値を置き換える新しい値を入力します。

        フィールド値を追加するには、[+ 値を追加 (+ Add value)] を選択し、マップにフィールドを追加するには、[+ マップにフィールドを追加 (+ Add field to map)] を選択します。

        フィールドの値を読みやすくし、フィルタリングおよびグループ化を容易にする形式に変更します。
      構成アイテム (CI) 識別を改善

      このオプションを使用すると、アラートを構成アイテム (CI) にバインドまたはリンクする方法を変更し、アラートを適切な IT コンポーネントに関連付けて、可視性を向上させ、問題を迅速に解決できます。

      アラートを CI にバインドするデフォルトの最も一般的な方法は、[ ノード ] フィールドに基づくものです。これは、構成を必要とせずにすぐに機能します。これを使用するには、アラートの [ノード ] フィールドに CI の名前、完全修飾ドメイン名 (FQDN)、IP、または MAC アドレスを入力します。これは、コンピューター、オペレーティングシステム (OS)、スイッチ、ルーター、または [cmdb_ci_hardware] テーブルを拡張する任意の CI タイプまたはクラスを含むホスト CI をサポートします。

      このアクションを有効にすると、プロセスやサービスインスタンスなどの他のタイプの CI の CI 識別を改善できます。選択した CI タイプに基づいて、適切な CMDB テーブル内で一致する CI が検索されます。たとえば、VMware 仮想マシンインスタンスを CI クラスとして選択した場合、イベントルールレコードの詳細、特に [追加情報 ] フィールドを使用して、[cmdb_ci_vmware_instance] テーブル内の一致するレコードが検索されます。

      構成アイテム (CI) 識別セクションの改善
      1. CI が特定のホストで実行されていることを指定するには、[ 特定のホストで実行されている CI を特定 (Identify CI running on a specific host )] チェックボックスをオンにします。

        ホスト CI を識別するために、アラートの [ノード ] フィールドに正しく入力されていることを確認します。識別する CI は、ホスト CI と の実行関係 があるか 、ホストにマッピングされている必要があります。

        注:
        また、[フィールドを抽出] セクションの [アラート出力] フィールド、または [フィールドをコピーまたは作成] セクションの [出力先] フィールドの値が [ノード] の場合は、[特定のホストで実行されている CI を識別] チェックボックスをオンにします。
      2. バインドする CI クラスを選択します。

        [ アイテムを表示 ] を選択すると、このタイプの CI とその属性値のリストが表示されます。

      3. アラートの [追加情報 ] フィールドに少なくとも 1 つの CI 属性が存在することを確認します。

        これらのフィールドに入力する方法については、「 CI 属性の形式に一致するように追加情報フィールドを設定」を参照してください。アラートの [追加情報 ] フィールドの値と CI テーブルの照合が試行されます。一致が見つかると、アラートは対応する CI にバインドされます。

      4. サンプルイベントで CI 識別をテストするには、[ CI 識別をテスト (Test CI Identification )] を選択します。
        CI 識別のテストの結果。

      CI バインディングの詳細については、「CI へのアラートのバインディング」を参照してください。
    8. [And Finally] セクションで、この自動化の実行後も同じフィルター条件で他の拡張自動化の実行を続行するには、[その他の拡張アラートの自動化を実行] を選択します。
      他の拡張アラートの自動化を実行するかどうかを選択するオプション。

      [ 他の拡張アラートの自動化を実行しない] を選択した場合、このタイプの追加の自動化は、この自動化が 1 回実行されると実行を停止します。アドミニストレーターが自動化を管理している場合、アドミニストレーターが管理している自動化の実行は停止されますが、他のアサイン先グループが管理している自動化は引き続き実行されます。

    9. [自動化の詳細 (Automation details)] セクションで、順序と自動化の説明を入力します。
      [自動化の詳細を拡張 (Enrich automation details)] セクション
      1. [順序] フィールドに、自動化の順序を入力します。
        注:
        自動化は、最も小さい数値から最も大きい数値の順に実行されます。条件に一致する小さい順番の拡張自動化がなく、[このタイプの追加の自動化を適用 (Apply additional automations of this type)] が false に設定されていることを確認します。設定されていないと、後続の自動化が実行されない可能性があります。

        [自動化の管理担当者 (Automation is managed by)] フィールドには、この自動化を所有、編集し、削除できるチームまたはアサイン先グループが表示されます。アサイン先グループは、[これらの条件が満たされている場合 (If these conditions are met)] セクションで定義されたものと同じです。

      2. [自動化の説明 (Automation description)] フィールドに、自動化の簡単な説明を入力します。
    10. [自動化を保存 (Save automation)] を選択します。
      自動化が正常に保存されると、通知が表示されます。そうでない場合は、エラーメッセージが表示されます。作成した拡張自動化は、既存の自動化を表示、編集、または削除できる [アラートの拡張 (Enrich alerts)] ページに表示されます。

    次のタスク

    グループ化の自動化の作成」を参考に類似のアラートをグループ化することで、アラートをより効果的に管理できます。