アラートのグループ化のスケジュール済みジョブとパラメーター

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • 事前定義されたクライテリアとパラメーターに基づいてアラートをグループ化するジョブを構成して、アラート編成を自動化します。

    アラートを自動、CMDB、テキストベース、タグクラスター、およびネットワークトラフィックの相関の各グループにグループ化するために、「RCA/アラートアグリゲーションを使用したサービスアナリティクスグループアラート」という名前のスケジュール済みジョブが、通常は 1 分に 1 回実行されます。このジョブでは、指定された方法に基づいてアラートのグループ化を処理します。また、複数のスケジュール済みジョブを並列に実行して、アラートのグループ化をより効率的に管理することができます。詳細については、「アラートグループ化のための複数のスケジュール済みジョブの実行」を参照してください。

    グループ化するアラートを定義するには、以下のパラメーターを使用します。
    • sa_analytics.aggregation_enabled:このパラメーターは、スケジュール済みジョブによって作成されたアラートのグループ化を有効にします。プロパティ「Enable alert aggregation for Automated, CMDB, and Text-Based groups」を true に設定すると、この機能がアクティブ化されます。
      注:
      このプロパティは、タグクラスターとネットワークトラフィックの相関のグループ化にも適用されます。
    • sa_analytics.agg.query_dynamic_window:デフォルトでは 10 分 (600 秒) に設定されています。グループ化できる 2 つのアラートの最後のイベント生成時刻間の最大許容時間差を定義します。
    • sa_analytics.agg.query_max_group_lifetime:このパラメーターでは、グループ内の最初のアラートの生成から最後のアラートの生成までの最大期間を指定します。デフォルトは 30 分 (1800 秒) です。イベントの到着でこの期間を超える遅延が発生した場合は、sa_analytics.agg.group_expiration_time パラメーターを使用して、グループ化時間を 30 分を超えて延長できます。
    注:
    sa_analytics.agg.query_dynamic_windowsa_analytics.agg.query_max_group_lifetimesa_analytics.agg.group_expiration_time などの一部のパラメーターは、すぐには利用できません。これらのプロパティを使用するには、同じ名前のプロパティを作成し、必要な値をアサインする必要があります。プロパティの作成方法の詳細については、「Add a system property」を参照してください。

    例:アラートのグループ化の方法

    タグクラスターをグループ化する場合、アラートは、アラートタグクラスタリング設定で定義されている期間パラメーターに基づいて、グループに追加されます。自動、CMDB、テキストベース、ネットワークトラフィックのグループ化の場合、アラートは次のようにアグリゲートされます。

    同じ CI を持つ以下のアラートについて考えてみます。(すべてを同じ CMDB グループに追加できます)。
    • アラート 1:最初のイベント生成は 01:00:00 AM
    • アラート 2:最初のイベント生成は 01:11:00 AM
    • アラート 3:最初のイベント生成は 01:13:00 AM
    • アラート 4:最初のイベント生成は 01:16:00 AM
    • アラート 5:最初のイベント生成は 01:25:00 AM
    • アラート 6:最初のイベント生成は 01:34:00 AM
    • アラート 7:最初のイベント生成は 01:43:00 AM
    アラート 1 とアラート 2 は、時間差が 10 分を超えているためグループ化されません。アラート 2 とアラート 3 は、01:13:00 AM にグループを作成します。10 分間の動的期間は 01:13:00 AM に開始され、以下のようになります。
    • アラート 4 が 01:16:00 AM にグループに追加され、10 分間の期間が再開されます。
    • アラート 5 とアラート 6 は、イベント時間が 10 分間の期間内にあるため、グループに追加されます。
    • アラート 7 はアラート 6 の 9 分後に到着しており、最初のグループ作成から 30 分の最大グループライフタイムという sa_analytics.agg.query_max_group_lifetime 制限を超えているため (01:13:00 AM + 30 分 = 01:43:00 AM)、グループに追加されません。
    注:
    アラートの作成後、相関ロジックは 1 回だけ適用されます。アラートの作成後の変更は、相関について再評価されません。最初に相関が確立されていない場合でも、後でアラートをグループに追加できますが、これは新しい受信アラートが一致し、グループ化ロジックがトリガーされた場合に限られます。