경보 상관관계 규칙 양식

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 경보의 상관관계를 지정하고 경보를 그룹화하는 방법을 정의하는 필드를 관리합니다.

    표 1. 경보 상관관계 규칙 양식
    필드 설명
    이름 상관관계 규칙의 이름입니다.
    순서 규칙의 평가 우선순위입니다. 수치 값이 낮은 규칙이 더 높은 우선순위를 갖습니다. 일치하는 값을 찾을 때까지 경보를 각 경보 작업 규칙과 비교하여 평가합니다.

    예를 들어 우선순위가 각각 10과 20인 두 개의 경보 상관관계 규칙이 있는 경우 우선순위가 10인 규칙이 가장 먼저 평가됩니다. 우선순위가 10인 규칙의 기준과 경보가 일치하면 더 이상의 규칙이 검사되지 않습니다. 일치하지 않으면 우선순위가 20인 규칙에 대해 경보가 평가됩니다.
    활성 규칙을 활성화 또는 비활성화하는 옵션입니다.
    고급 사용자 지정 스크립트를 사용하여 고유한 논리를 정의할 수 있는 고급 모드로 전환하는 옵션입니다. 샘플 상관관계 규칙인 경보 상관관계 규칙 SAMPLE은 참조용으로 바로 제공됩니다. 사용 가능한 스크립트를 가이드로 사용할 수 있습니다.
    주:
    필터 조건은 규칙이 적용될 경보를 지정합니다. 그룹에 포함할 경보를 식별하려면 고급 스크립트에서 동일한 조건이 사용되어야 합니다.
    설명 규칙에 대한 설명입니다.
    기본 경보 관련 경보 집합에서 기본 경보 또는 가장 중요한 경보를 식별하기 위한 필터 조건입니다.

    고급을 선택하면 이 필드가 나타나지 않습니다.
    보조 경보 기본 경보와 관련이 있지만 중요도가 낮은 경보를 식별하기 위한 필터 조건입니다.

    고급을 선택하면 이 필드가 나타나지 않습니다.
    필터 스크립트가 실행되는 경보를 식별하는 필터 조건입니다.

    필터고급을 선택한 경우에만 사용할 수 있습니다.

    필터 매개변수는 기본적으로 대소문자를 구분합니다. 대소문자 구분을 사용하지 않도록 설정하려면 sa_analytics.correlation_case_sensitive 매개변수를 false로 설정합니다.
    관계 유형 기본 경보와 보조 경보 간의 관계 유형을 지정합니다.
    • 관계 없음: 일치하는 항목을 찾을 때 관계를 무시합니다.
    • 동일한 CI 또는 노드: 두 경보를 동일한 CI와 연관시킵니다. CI 필드가 비어 있으면 경보의 노드 값이 같아야 합니다.
    • 기본이 상위입니다.: CI 관계 유형 테이블 [cmdb_rel_ci]에 설명된 것처럼 기본 경보가 상위-하위 관계에서 상위인 경보를 연관시킵니다.
    • 기본이 하위입니다.: CI 관계 테이블 [cmdb_rel_ci]에 설명된 것처럼 기본 경보가 하위-상위 관계에서 하위인 경보를 연관시킵니다.

    고급 확인란이 선택된 경우 이 필드는 표시되지 않습니다.
    시간 차이(분) 이 규칙과 일치하려면 주 이벤트와 보조 이벤트가 이 시간(분) 간격 사이에서 발생해야 합니다. 기본값은 60분입니다.
    주:
    이 항목의 값은 1440분(1일)을 초과할 수 없습니다.

    고급을 선택하면 이 필드가 나타나지 않습니다.
    스크립트 기본 및 보조 경보를 지정하는 JSON 문자열을 반환하기 위해 수정할 수 있는 사용자 지정 스크립트입니다.

    고급을 선택하면 스크립트 필드가 표시됩니다.

    
(/* The function needs to return a JSON- {correlationType:[correlatedAlerts]}
 for example: if your filter matches the alert, set the alert as the primary alert and set alerts 1, 2 and 3 each as secondary alerts.
 
 You can use both multiple primary alerts and multiple secondary alerts.
 The correlationType can be PRIMARY or SECONDARY, and the alerts ID must be in an array. 
 CurrentAlert is the GlideRecord of the currentAlert on which that rule runs.  
 The system supports only one primary per alert, so: 
   Do not correlate more than one alert under the PRIMARY array. 
   Do not correlate alerts that already have a primary under the SECONDARY array. 
  The system supports open alerts only, so do not correlate alerts that have been closed under either one of the arrays. 
  */
 
 (function findCorrelatedAlerts(currentAlert){
 
       var result = {};   //Insert your code here
       result = {'SECONDARY':['alertID1','alertID2','alertID3']};         
       return JSON.stringify(result);  
 
 })(currentAlert);
    관계 기본 경보와 보조 경보 사이의 CI 관계에 대한 설명입니다(예: Allocated from::Allocated to 또는 Allocated to::Allocated from).

    이 필드는 관계 유형으로 기본이 상위입니다. 또는 기본이 하위입니다.를 선택해야만 표시됩니다.

    관계

    고급을 선택하면 이 필드가 나타나지 않습니다.