グループ化の自動化の作成

チューリッヒ IT Operations Management (ITOM)

Release

zurich

ft:locale

ja-JP

ft:publication_title

チューリッヒ IT Operations Management (ITOM)

ft:clusterId

itom

bundleId

itom

workflow

Technology

グループ化の自動化の作成

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：10分

グループ化の自動化は、類似のアラートをまとめて収集することで、アラートをより効果的に管理するのに役立ちます。これにより、パターンの確認、問題の迅速な特定、効率的な対応が容易になります。この方法でアラートを整理することで、アラートのノイズを減らし、根本原因を特定して、適切なチームにアサインすることができます。

始める前に

必要なロール:evt_mgmt_admin、evt_team_operator、または srm_responder

このタスクについて

このメソッドのグループ化は、アラートがノードや場所などの共通のデータやタグを共有する場合に最も役立ちます。拡張自動化を介して入力されたフィールドまたはタグを使用できます。これは、CMDB またはサービスマップが未成熟な場合にアラートをグループ化する最適な方法です。これは、アラート相関ルール、CMDB、ML、テキストベースのグループ化など、他のグループ化アルゴリズムを補完するものです。アラートは最初の一致でグループ化されます。これらのアルゴリズムの優先順位をシステムプロパティを使用して制御できます。相関ロジックの順序については、「アラート相関ロジックの順序の設定」を参照してください。

アラートの自動化にはシミュレーション機能も備わっており、形成されるアラートグループの数、グループ化されないまま維持されるアラートグループの数、および圧縮率をテストできます。圧縮率が高いほど、チームの生産性が向上し、根本原因をより迅速に特定できる可能性があります。ただし、グループが正確で、運用上正しく、適切なチームにアサインされているかどうか検討を行ってください。満足のいくグループが得られるまで、グループ条件を調整できます。

クラシックイベント管理エクスペリエンスに慣れているユーザーのために、この機能では、タグベースのアラートクラスタリング定義を作成するためのチームサポートが改善された、より簡単なインターフェイスを提供しています。

手順

移動先ワークスペース > サービスオペレーションワークスペース.
プライマリナビゲーションで、[アラートの自動化] アイコン ( ) を選択します。
[アラートの自動化 (Alert automation)] ページの [自動化タイプ (Automation types)] で、[グループ] を選択します。
[アラートのグループ化 (Group alerts)] ページが表示されます。
[自動化を作成 (Create automation)] を選択します。
[自動化名] フィールドに、アラートをグループ化するための自動化の名前を入力します。
デフォルトでは、[ アクティブ ] チェックボックスはオンになっています。
[これらの条件が満たされている場合 (If these conditions are met)] セクションで、グループ化するアラートを識別するためのフィルター基準を設定します。
1. [アサイン先グループ] フィールドメニューからアサイン先グループを選択して、どのチームのアラートが自動化をトリガーするかを決定します。
  [アサイン先グループ] は、特定のアラートの処理を担当する特定のチームを表します。アサイン先グループを選択することで、その特定のチームにアサインされたアラートのみが自動化をトリガーするようにします。この方法により自動化は、選択したチームに関連付けられている関連アラートが対象となり、これらの関連アラートに対してのみアクティブ化されます。
  注:
  アドミニストレーターロール (evt_mgmt_admin) でインスタンスにログインしている場合は、すべてのアサイン先グループが利用可能です。さらに、[すべてのグループ] を選択して、利用可能な任意のグループのアラートの生成を有効にできます。
  
  オペレーターの場合は、自分が属しているグループのみを利用できます。
  
  選択したグループのメンバーまたはアドミニストレーターのみが、自動化を更新または削除できます。
2. フィールド、演算子、およびフィールド値を選択して、条件を設定します。次に、OR または AND 演算子を使用してさらに条件を追加します。アサイン先グループの他に、少なくとももう 1 つのフィルターを追加する必要があります。
  ヒント:
  パフォーマンスを向上させるために、より具体的なフィルターを選択します。
  別の条件セットを追加するには、[+ 新しい条件セット] を選択します。ドロップダウンリストに表示されていない場合は、追加情報フィールドを手動で追加することもできます。
  注:
  [ 過去のイベントをロード ] を選択して、自動化の作成時に以前のイベントを表示します。
[次に、次の基準でアラートをグループ化します (Then, group alerts by the following criteria)] セクションで、次の手順を実行します。
1. [グループ化の期間 (Grouping timeframe)] フィールドで、アラートを収集してグループ化する必要がある期間 (分) を指定します。
2. [ 基準タイプ ] メニューで、アラートをグループ化する方法を選択します。
  現在、次の 2 つのオプションがあります。
  - 類似のフィールドとタグ:類似のフィールドとタグでアラートをグループ化します。
  - 関連 CI:CI (構成アイテム) の関係 (子/親/兄弟)、格納、および適用可能なフローに従ってアラートをグループ化します。
3. [ ソース] フィールドメニューで、アラートをグループ化するソースを選択します。
  
  注:
  フィールド名を手動で追加し、フィールドのタイプを選択できます。使用可能なオプションには、追加情報フィールド、アラートタグ、および CI タグが含まれます。この柔軟性により、特定のニーズに応じてキャプチャする情報をカスタマイズできます。
4. [グループ化の照合メソッド (Match method for grouping)] フィールドで、完全一致、あいまい一致、またはパターン一致に基づくアラートのグループ化オプションのいずれかを選択します。
  グループ化フィールドであいまい一致メソッドの値を選択すると、[類似性しきい値 (パーセンテージ) (Similarity threshold (percentage))] フィールドが表示されます。アラートは、類似性が編集距離に基づいて指定されたパーセンテージ以上の場合にグループ化されます。
  たとえば、米国、カリフォルニア州、および米国、ニューヨーク州からのアラートがあり、アラートを国別にグループ化する場合は、[ソース] フィールドを [米国] に設定します。[グループ化の照合メソッド (Match Method for Grouping)] があいまい一致で、[類似性しきい値 (パーセンテージ) (Similarity threshold (percentage))] が 50% の場合、アラートは 50% 以上の類似性がある場合にグループ化されるため、ここでは国「米国」を共通属性として共有することになります。
5. グループ化フィールドでパターン一致メソッドの値を選択すると、[ パターン一致 ] フィールドが表示されます。指定したパターンが一致すると、アラートがグループ化されます。詳細については、「Pattern matching」を参照してください。
  任意の数の文字と一致させる場合は検索文字列にアスタリスク (*) を使用し、任意の 1 文字と一致させる場合は疑問符 (?) を使用します。検索文字列内の他のすべてのものはそれ自体と一致します。たとえば、すべての HTTP 500 エラーと一致させるには、"HTTP Error 5??" を使用します。
  グループ化に追加のフィールドを含めるには、 [+ 基準を追加] を選択します。
[自動化の詳細 (Automation details)] セクションで、順序と自動化の説明を入力します。
1. [順序] フィールドに、自動化の順序を入力します。
  
  注:
  アラートは、最初の一致に基づいてグループ化され、番号の小さいものから大きいものの順に実行されます。[自動化の管理担当者 (Automation is managed by)] フィールドには、この自動化を所有、編集し、削除できるチームまたはアサイン先グループが表示されます。アサイン先グループは、[これらの条件が満たされている場合 (If these conditions are met)] セクションで定義されたものと同じです。
2. [自動化の説明 (Automation description)] フィールドに、自動化の簡単な説明を入力します。
アラートのグループ化が正しく機能しているかどうかをテストするには、 [過去のアラートでこの自動化をテストする] に移動し、ドロップダウンリストからシミュレーションの期間を選択し、他のグループ化の種類を検討するかどうかを選択して、 [ 自動化のテスト] を選択します。
注:
[ 他のグループタイプを検討する (Consider other group types )] メニューから、[ この自動化のみ (This automation only )] または [ 他のグループタイプを検討する (Consider other group types)] を選択できます。[この自動化] を選択すると、他のアラートグループタイプのみが無視され、[他のグループタイプを検討する] を選択すると、タグベース、自動、テキストベース、CMDB ベースのアラートグループ化など、すべてのアラートグループ化の自動化が含まれます。

シミュレーション中は、指定された期間のグループ化されたアラートとグループ化されていないアラートの両方が表示されます。グループ化されているアラートがある場合は、グループ化されているアラートの数が表示されます。この数を選択すると、グループ化されたアラートを表示できます。さらに、個々のアラートを選択すると、その特定のアラートの詳細が表示されます。アラートのグループ化条件またはフィールド値を変更し、[ テストの再実行] を選択してプロセスを再度開始することもできます。
[自動化をテスト] セクションのヘッダーには、一致するアラート、アラートグループ、グループ化されていないアラート、および圧縮も表示されます。
- 一致するアラート:この自動化に定義された条件に一致する、グループ化前の一致するアラートの合計数。
- アラートグループ:自動化条件に一致する複数のアラートを含むグループの数。括弧内の小さい数値は、この自動化によって作成されるグループの数を表します。
- グループ解除済み:グループ化されていない自動化条件に一致するアラートの数。
- 圧縮:グループ化によって達成される合計アラート数の削減率。1 - (アラートグループ + グループ化解除)/合計アラートとして計算されます。アラートを関連する問題にグループ化することで、圧縮率を向上させることができます。括弧内の小さい数値は、この自動化によって圧縮された一致するアラートの割合を示します。
- 基準タイプが [関連 CI] の場合:
  - [オープン CI の依存関係マップ] リンクが [自動化をテスト] セクションに表示されます。
  - [ 構成アイテム ] フィールドが表示されます。
[テスト自動化] セクションには、[ 説明]、[ タイプ]、および [時間] の 3 つのキー列が表示されます。[ 説明 ] 列には、アラートグループの詳細の概要が表示されます。[ 説明 ] 列の前には、そのグループに含まれるアラートの合計を示す数字が表示されます。[タイプ ] では、[このグループ化の自動化]、[その他のグループ化の自動化]、[CMDB グループ]、[単一のアラート] など、グループ化のカテゴリを指定します。[その他のグループ化の自動化 (Other grouping automation)] を選択すると、グループを生成した対応する自動化ページが表示されます。さらに、[ 時間 ] 列にはテストが実施された日時が表示されます。

重要:
アラートのシミュレーションは、テストインスタンスと本番インスタンスで実行できます。テスト自動化は、指定された条件に一致する最大 200 件の最新のアラートを使用して自動化をシミュレートします。すべてのアラートがこの自動化の条件を満たすグループのみが考慮されますが、実際の実行時に追加のグループ化アルゴリズムが適用される場合があります。
[自動化を保存 (Save automation)] を選択します。
自動化が正常に保存されると、通知が表示されます。そうでない場合は、エラーメッセージが表示されます。作成したグループ自動化は、既存の自動化を表示、編集、または削除できる [アラートのグループ化 (Group alerts)] ページに表示されます。

次のタスク

応答の自動化を実装することで、チームまたは個人からのより迅速な応答が必要なアラートをエスカレーションできます。