Перейти к основному содержимому
Версия: 5.0

Настройка правил группировки

Общее описание

Одним из инструментов, позволяющим оптимизировать процесс реагирования на инциденты и их анализ, является группировка инцидентов.

Суть группировки заключается в объединении схожих инцидентов, обладающих одинаковыми характеристиками, в единую группу. Это позволяет перейти от разрозненного списка отдельных событий к более структурированному представлению, выявляя закономерности и упрощая анализ ситуации.

Для реализации такого поведения необходимо настроить правила группировки. Правила определяют, какие именно поля инцидента будут использоваться для сравнения и последующего объединения.

Создание правил группировки

Для перехода к правилам, по которому инциденты будут объединяться в группы необходимо перейти в Меню - секция Менеджер инцидентов - Настройка правил группировки.

Список агрегаций

В верхней части интерфейса есть поисковая строка и фильтры для удобного управления правилами, а также кнопка для создания новых правил.

Для создания правила группировки необходимо:

  1. Нажать кнопку Создать в верхней части интерфейса.
  2. Заполнить поля в редакторе.
  3. Нажать кнопку Сохранить в верхней или нижней части интерфейса

Редактор правил

Редактор состоит из 4 секций: Основное, Поля для сравнения, Функциональные поля и Дополнительные поля.

Создание агрегации

Основное

В секции Основное заполняются основные параметры группировки:

  • Название - название правила, которое будет отображаться в списке правил
  • Отображаемое название - название группы инцидентов в Менеджере инцидентов
  • Описание - описание группы инцидентов

Поля Отображаемое название и Описание поддерживают токенизацию. Доступны токены, которые содержат информацию о результате группировки:

  • comparison_fields - префикс для полей из раздела Поля для сравнения

  • function_fields - префикс для получения результатов функций из раздела Функциональные поля

  • aggregation_info - хранит информацию о настройках группировки, в частности, имя текущей конфигурации

  • incidents_count - показывает общее количество инцидентов, объединенных в данную группу

  • Workflow - рабочий процесс, который будет использоваться для группы

  • Статусы закрытия - статус, которые будут использоваться для закрытия группы

  • Критичность - уровень важности группы инцидентов

  • Поисковые задания - поисковые задания, которые будут использоваться для группировки

  • Время жизни - время жизни группы инцидентов

  • Максимальное время между инцидентами - максимальное время между инцидентами для группировки

Поля для сравнения

В секции Поля для сравнения можно задать параметры сравнения для группировки:

  • Название поля - итоговое название поля, которое будет отображаться в агрегации
  • Поисковое задание - поисковое задание, которое генерирует инцидент
  • Значение - название поля из инцидента, по которому будет идти сравнение. Если в поле Поисковые задания выбрано больше одного задания, то название поля из инцидента нужно указать для каждого задания. Если необходимо сравнить по полю, которое попало в инцидент из результатов поиска в поисковом задании, то перед названием поля необходимо добавить префикс fields: fields.<Название поля>. Для полей из карточки инцидента префикс добавлять не надо

Функциональные поля

В секции Функциональные поля можно настроить вычисления в группе.

  • Название поля - итоговое название поля, которое будет отображаться в агрегации
  • Функция - функция, которая применится к полю из инцидента На данный момент поддерживаются следующие функции:
    • MAX, MIN, SUM, VALUES, AVG, EARLIEST, LATEST
  • Поисковое задание - поисковое задание, которое генерирует инцидент
  • Значение - название поля из инцидента, по которому будет идти сравнение. Если в поле Поисковые задания выбрано больше одного задания, то название поля из инцидента нужно указать для каждого задания. Если необходимо сравнить по полю, которое попало в инцидент из результатов поиска в поисковом задании, то перед названием поля необходимо добавить префикс fields: fields.<Название поля>. Для полей из карточки инцидента префикс добавлять не надо

Использование полей из этой секции удобно, например, когда необходимо в карточке группы указать, какие хосты упоминались во всех инцидентах группы.

Дополнительные поля

В секции Дополнительные поля можно задать дополнительные параметры инцидентов, изменяются в настройках модуля.

Редактирование правил группировки

Для редактирования правила группировки необходимо:

  1. В таблице Правила группировки в столбце Действия нажать на кнопку ....
  2. Выбрать действие Редактировать.
  3. Внести изменения в Редакторе правил.
  4. Нажать кнопку Сохранить в верхней или нижней части интерфейса.

Включение и отключение правил группировки

Для включения и отключения правил группировки необходимо:

  1. В таблице Правила группировки в столбце Действия нажать на кнопку ....
  2. Выбрать действие Выключить или Включить.

Удаление правил группировки

Для удаления правила группировки необходимо:

  1. В таблице Правила группировки в столбце Действия нажать на кнопку ....
  2. Выбрать действие Удалить.