Настройки группировки инцидентов

Общее описание

Одним из инструментов, позволяющим оптимизировать процесс реагирования на инциденты и их анализ, является группировка инцидентов.

Суть группировки заключается в объединении схожих инцидентов, обладающих одинаковыми характеристиками, в единую группу. Это позволяет перейти от разрозненного списка отдельных событий к более структурированному представлению, выявляя закономерности и упрощая анализ ситуации.

Для реализации такого поведения необходимо настроить правила группировки. Правила определяют, какие именно поля инцидента будут использоваться для сравнения и последующего объединения.

Создание правил группировки инцидентов

Для перехода к правилам, по которым инциденты будут объединяться в группы, необходимо перейти в Навигационное меню - Менеджер инцидентов - Настройки групп инцидентов.

В верхней части интерфейса находится поисковая строка, фильтрация по состоянию группы (Включено/Выключено) и тегам, а также кнопка для создания новой группы.

Для создания нового правила группировки инцидентов необходимо:

1. Нажать кнопку Создать в верхней части интерфейса
2. Заполнить поля в редакторе
3. Нажать кнопку Сохранить в верхней или нижней части интерфейса

Редактор правил группировки

Редактор состоит из четырех секций: Основное, Поля для сравнения, Функциональные поля и Дополнительные поля.

Основное

В секции Основное заполняются основные параметры группировки:

• Название - название группы, которое будет отображаться в списке групп инцидентов
• Отображаемое название - название сгруппированных инцидентов в Менеджере инцидентов
• Описание - описание группы инцидентов

Поля Отображаемое название и Описание поддерживают токенизацию. Доступны токены, которые содержат информацию о результате группировки:

• comparison_fields - префикс для полей из раздела Поля для сравнения
• function_fields - префикс для получения результатов функций из раздела Функциональные поля
• aggregation_info - хранит информацию о настройках группировки, в частности, имя текущей конфигурации
• incidents_count - показывает общее количество инцидентов, объединенных в данную группу

Помимо этого, раздел Основное включает в себя настройку следующих параметров:

• Workflow - рабочий процесс, который будет использоваться для группы
• Статусы закрытия - статусы, которые будут использоваться для закрытия группы
• Критичность - уровень критичности группы инцидентов
• Поисковые задания - поисковые задания, которые будут использоваться для группировки
• Время жизни - время жизни группы инцидентов
• Максимальное время между инцидентами - максимальное время между инцидентами для группировки

Поля для сравнения

В секции Поля для сравнения можно задать параметры сравнения для группировки.

• Название поля - итоговое название поля, которое будет отображаться в агрегации
• Поисковое задание - поисковое задание, которое генерирует инцидент
• Значение - название поля из инцидента, по которому будет идти сравнение. Если в поле Поисковые задания выбрано больше одного задания, то название поля из инцидента нужно указать для каждого задания. Если необходимо сравнить по полю, которое попало в инцидент из результатов поиска в поисковом задании, то перед названием поля необходимо добавить префикс fields: fields.<Название поля>. Для полей из карточки инцидента префикс добавлять не надо

Функциональные поля

В секции Функциональные поля можно настроить вычисления в группе.

• Название поля - итоговое название поля, которое будет отображаться в группе
• Функция - функция, которая применится к конкретному полю из инцидентов внутри группы Поддерживаются следующие функции:
  • MAX, MIN, SUM, VALUES, AVG, EARLIEST, LATEST
• Поисковое задание - поисковое задание, которое генерирует инцидент
• Значение - название поля из инцидента, по которому будет идти сравнение. Если в поле Поисковые задания выбрано больше одного задания, то название поля из инцидента нужно указать для каждого задания. Если необходимо сравнить по полю, которое попало в инцидент из результатов поиска в поисковом задании, то перед названием поля необходимо добавить префикс fields: fields.<Название поля>. Для полей из карточки инцидента префикс добавлять не надо

Использование полей из этой секции удобно, например, когда необходимо указать в карточке группы, какие хосты упоминались во всех инцидентах группы.

Дополнительные поля

В секции Дополнительные поля можно задать дополнительные параметры инцидентов, которые настраиваются в карточке инцидента (Навигационное меню - Параметры системы - Настройки модулей - Менеджер инцидентов - Карточка инцидента).

Редактирование правил группировки инцидентов

Для редактирования правила группировки необходимо:

1. В таблице Группы инцидентов в столбце Действия нажать на кнопку ...
2. Выбрать действие Редактировать
3. Внести изменения в Редакторе правил
4. Нажать кнопку Сохранить в верхней или нижней части интерфейса

Включение и отключение правил группировки инцидентов

Для включения и отключения групп инцидентов необходимо:

1. В таблице Группы инцидентов в столбце Действия нажать на кнопку ...
2. Выбрать действие Выключить или Включить

Удаление правил группировки

Для удаления группы инцидентов необходимо:

1. В таблице Группы инцидентов в столбце Действия нажать на кнопку ...
2. Выбрать действие Удалить

Множественные операции над группами

При настройке групп инцидентов также реализована возможность множественного редактирования и удаления групп. Для этого необходимо:

1. В таблице Группы инцидентов выбрать необходимые группы путем нажатия на пустые квадраты слева от названия группы
2. Выбрать действие Редактировать выбранное или Удалить агрегации
3. Если выполняется редактирование, то выбрать тип настройки: Разрешения или Теги

В результате выбранное действие применится ко всем выбранным группам.