Перейти к основному содержимому
Версия: 5.3

Настройки группировки инцидентов

Общее описание

Одним из инструментов, позволяющим оптимизировать процесс реагирования на инциденты и их анализ, является группировка инцидентов.

Суть группировки заключается в объединении схожих инцидентов, обладающих одинаковыми характеристиками, в единую группу. Это позволяет перейти от разрозненного списка отдельных событий к более структурированному представлению, выявляя закономерности и упрощая анализ ситуации.

Для реализации такого поведения необходимо настроить правила группировки. Правила определяют, какие именно поля инцидента будут использоваться для сравнения и последующего объединения.

Создание правил группировки инцидентов

Для перехода к правилам, по которым инциденты будут объединяться в группы, необходимо перейти в Навигационное меню - Менеджер инцидентов - Настройки групп инцидентов.

Настройки групп инцидентов

В верхней части интерфейса находится поисковая строка, фильтрация по состоянию группы (Включено/Выключено) и тегам, а также кнопка для создания новой группы.

Для создания нового правила группировки инцидентов необходимо:

  1. Нажать кнопку Создать в верхней части интерфейса
  2. Заполнить поля в редакторе
  3. Нажать кнопку Сохранить в верхней или нижней части интерфейса

Редактор правил группировки

Редактор состоит из четырех секций: Основное, Поля для сравнения, Функциональные поля и Дополнительные поля.

Создание правил группировки

Основное

В секции Основное заполняются основные параметры группировки:

  • Название - название группы, которое будет отображаться в списке групп инцидентов
  • Отображаемое название - название сгруппированных инцидентов в Менеджере инцидентов
  • Описание - описание группы инцидентов

Основное

Поля Отображаемое название и Описание поддерживают токенизацию. Доступны токены, которые содержат информацию о результате группировки:

  • comparison_fields - префикс для полей из раздела Поля для сравнения
  • function_fields - префикс для получения результатов функций из раздела Функциональные поля
  • aggregation_info - хранит информацию о настройках группировки, в частности, имя текущей конфигурации
  • incidents_count - показывает общее количество инцидентов, объединенных в данную группу

Помимо этого, раздел Основное включает в себя настройку следующих параметров:

  • Workflow - рабочий процесс, который будет использоваться для группы
  • Статусы закрытия - статусы, которые будут использоваться для закрытия группы
  • Критичность - уровень критичности группы инцидентов
  • Поисковые задания - поисковые задания, которые будут использоваться для группировки (SP задачи отмечены тегом SP-задача)
  • Время жизни - время жизни группы инцидентов
  • Максимальное время между инцидентами - максимальное время между инцидентами для группировки
  • Синхронизировать с новыми инцидентами - переключатель

Настройки в разделе Основное

Тип детализации

Механизм задания начальных условий для аналитического отчета, который служит точкой входа для последующей детализации (drilldown).

Переключатель Указать временные границы для детализации - это специализированный параметр настройки Поиска, который определяет, как временной фильтр будет применяться при выполнении операций детализации (drilldown).

Тип детализации Поиск

Поля для сравнения

В секции Поля для сравнения можно задать параметры сравнения для группировки.

Поля для сравнения

  • Название поля - итоговое название поля, которое будет отображаться в агрегации
  • Поисковое задание - поисковое задание, которое генерирует инцидент
  • Значение - название поля из инцидента, по которому будет идти сравнение. Если в поле Поисковые задания выбрано больше одного задания, то название поля из инцидента нужно указать для каждого задания. Если необходимо сравнить по полю, которое попало в инцидент из результатов поиска в поисковом задании, то перед названием поля необходимо добавить префикс fields: fields.<Название поля>. Для полей из карточки инцидента префикс добавлять не надо

Функциональные поля

В секции Функциональные поля можно настроить вычисления в группе.

Функциональные поля

  • Название поля - итоговое название поля, которое будет отображаться в группе
  • Функция - функция, которая применится к конкретному полю из инцидентов внутри группы Поддерживаются следующие функции:
    • MAX, MIN, SUM, VALUES, AVG, EARLIEST, LATEST
  • Поисковое задание - поисковое задание, которое генерирует инцидент
  • Значение - название поля из инцидента, по которому будет идти сравнение. Если в поле Поисковые задания выбрано больше одного задания, то название поля из инцидента нужно указать для каждого задания. Если необходимо сравнить по полю, которое попало в инцидент из результатов поиска в поисковом задании, то перед названием поля необходимо добавить префикс fields: fields.<Название поля>. Для полей из карточки инцидента префикс добавлять не надо

Использование полей из этой секции удобно, например, когда необходимо указать в карточке группы, какие хосты упоминались во всех инцидентах группы.

Дополнительные поля

В секции Дополнительные поля можно задать дополнительные параметры инцидентов, которые настраиваются в карточке инцидента (Навигационное меню - Параметры системы - Настройки модулей - Менеджер инцидентов - Карточка инцидента).

Дополнительные поля

Редактирование правил группировки инцидентов

Для редактирования правила группировки необходимо:

  1. В таблице Группы инцидентов в столбце Действия нажать на кнопку ...
  2. Выбрать действие Редактировать
  3. Внести изменения в Редакторе правил
  4. Нажать кнопку Сохранить в верхней или нижней части интерфейса

Редактирование правил группировки

Включение и отключение правил группировки инцидентов

Для включения и отключения групп инцидентов необходимо:

  1. В таблице Группы инцидентов в столбце Действия нажать на кнопку ...
  2. Выбрать действие Выключить или Включить

Удаление правил группировки

Для удаления группы инцидентов необходимо:

  1. В таблице Группы инцидентов в столбце Действия нажать на кнопку ...
  2. Выбрать действие Удалить

Множественные операции над группами

Редактирование и удаление групп

При настройке групп инцидентов также реализована возможность множественного редактирования и удаления групп. Для этого необходимо:

  1. Выбрать группы в таблице Группы инцидентов. Для этого необходимо установить флажки в соответствующих строках (в колонке слева от названия группы)
  2. Выбрать действие Редактировать выбранное или Удалить агрегации
  3. Если выполняется редактирование, то выбрать тип настройки: Разрешения или Теги

В результате выбранное действие применится ко всем выбранным группам.

Экспорт групп инцидентов

Для работы с выбранными группами инцидентов доступна функция экспорта данных. Для этого необходимо:

  1. Выбрать группы в таблице Группы инцидентов. Для этого необходимо установить флажки в соответствующих строках (в колонке слева от названия группы)
  2. Нажать кнопку Экспорт, которая появится на верхней панели инструментов после выбора одной или нескольких групп
  3. В открывшемся диалоговом окне подтвердить действие, нажав Экспортировать
к сведению

Экспорт доступен только при наличии выбранных элементов. Данные выгружаются в файл формата .json.