アラート処理の説明 - Support and Troubleshooting

アラート処理の説明 目次 概要 アラートとは アラート処理フロー アラート アラートのステータスと処理 追加情報 1.概要 この記事では、アラートとは何か、アラートの作成方法、ServiceNow EM による処理方法、処理ライフサイクルなどについて詳しく説明します。 2.アラートとは 1 つ以上のイベントに注意を引くための通知は、 アラート と呼ばれています。イベントは、問題が悪化する前に責任があるチームにアクションを実行するように通知する「アラート」をトリガーします。フローは次のようになります [Data collection] > [Events] > [Alerts] [Lots of things] > [Some things] > [Few things]

「サービスの提供者」 (システム管理者、DBA、ネットワークエンジニア、プロダクトマネージャー、サービスマネージャー、サービスデスク) による即時の対応/アクションが必要であり、定義された条件/しきい値に達した、またはそれを超過するイベントは、アラートに変換されます。 イベントの処理方法と対応方法の詳細については、「 イベント処理 」を参照してください。 3.アラート処理フロー 下の図は、さまざまなステージに基づくアラート処理フローを説明しています。

イベントルール イベントルールメカニズムは、特定の基準に基づいてイベントを分類および処理するために使用されます。各ルールには、イベントソースやメンテナンスステータスなどの条件が定義されています。 条件が満たされた場合は、イベントの処理を続行するか、「イベントを無視」します。 処理の結果はアラートです。 イベントルールの詳細については、「 イベントルール 」を参照してください。 アラート イベントの処理が正常に完了すると、アラートレコードが生成されます。 新しく生成されたアラートには 4 つの異なるステータスがあります。オープン、再オープン、クローズ、フラッピング。 各ステータスには実行フローがあります。次のセクションで詳しく説明します。 イベントとアラートの関連付け： イベントが処理されると、システムは新しいアラートを作成するか、既存のアラートに関連付けるかを決定します。これは、メッセージキーの値によって決定されます。デフォルトでは、各イベントは メッセージキー によって一意に識別されます。 イベントのメッセージが既存のアラートと同じである場合、イベントはアラートに関連付けられます。そうでない場合は、新しいアラートが作成されます。 アラートがクローズされている場合、アラートの再オープンは、[Event Management] プロパティにある [新しいイベントがクローズされたアラートを再オープンするアクティブ間隔 (秒)] プロパティで定義された値に依存します。 メッセージキーが入力されていない場合 は、 ソース 、 タイプ 、 ノード 、 リソース 、および 測定基準名 フィールドを連結した値が使用され、これらのフィールドがメッセージキーに入力されます。 4. アラートのステータスと処理 アラートのステータスは 4 つあります。 [オープン]、[クローズ済み]、[再オープン]、および [フラッピング]です。これらすべてのステータスには、異なる実行フローとコードが関連付けられています。各ステータスの詳細は次のとおりです。 オープン アラートの処理の最初のステージは [オープン] です。イベントが正常に処理されると、アラートが作成されます。 アラートは、 イベントが無視されない か、イベントルールによって しきい値を超えた と、 重複排除によって既存のアラートに属するものとしてイベントが識別されない 場合にオープンされます。 これらのアラートは、11 秒ごとに実行される「 Event Management - Evaluate Scoped Alert Rules Management 」スケジュール設定済みジョブによって選択されます。 このジョブはスクリプトインクルード「EvtMgmtAlertManagementJob」の evalauteAlert() 関数を呼び出します。 評価プロセスでは、 アラート管理 ルールを使用してアラートをフィルタリングし、それに応じて修復アクションを実行します。 注意 - オープン状態のアラートを削除しないでください。先にアラートをクローズしてから削除してください。また、情報ステータスアラートはインシデントをクローズ/解決します。現在、ドキュメントにはこれが反映されていませんが、ドキュメント拡張要求が発行されています。

クローズ済み オープン状態のアラートの場合、Clear イベントがトリガーされると、関連する対応アラートが「クローズ済み」ステータスに設定されます。 アラートをクローズすると、関連するインシデントは解決またはクローズされていなくともクローズされます。 関連付けられたインシデントがない場合、ステータスが [クローズ済み] に変更されることはなく、それ以上のアクションは実行されません。 再オープン 新しい追加イベントが生成され、処理時に既存のクローズ済みアラートが検出されると、アラートが再オープンされます。アラートは手動で再オープンできます。 新しいイベントによる既存のクローズ済みアラートの再オープンは、プロパティ「 evt_mgmt.active_interval 」によって制御されます。 このプロパティのデフォルト値は 14400 秒です。つまり、アラートがクローズされ、同じメッセージキーに一致する新しいイベントが 4 時間以内に生成された場合、既存のアラートが再オープンされます。

アラートが再オープンされると、関連するインシデントは次のように処理されます。 インシデントが [解決済み] または [クローズ済み] でない場合、関連するアラートが再オープンされたことを示す作業メモが追加されます。 インシデントが [解決済み] または [クローズ済み] の場合、 evt_mgmt.alert_reopens_incident プロパティ の値に応じて、インシデントが再オープンされるか、新しいインシデントが作成されるか、または何も実行されません。 インシデントが再オープンされると、作業メモがインシデントに追加されます。 新しいインシデントが作成されると、一致するアラート管理ルール、アラートアクションルール、およびタスクテンプレートがインシデントに適用されます。 一致するアラートルールまたはテンプレートがない場合、既存のインシデントのフィールドが新しいインシデントにコピーされます。 アラートの再オープン後に実行されるビジネスルールは「 Reopen associated closed incident 」です。 この BR は、スクリプトインクルード「 EvtMgmtAlertManagementAlertReopenHandler 」を呼び出します。そして、アラート管理プロセスを再度呼び出し、正しいルールを見つけて修復アクションを実行します。 フラッピング フラッピングは、関連付けられたクローズ済みアラートに対して複数のオープンクローズイベントが生成された場合のステータスです。 フラッピングステータスエントリは、「 evt_mgmt.flap_interval 」および「 evt_mgmt.flap_frequency 」に設定された値を使用して決定されます。 現在のフラッピング回数 の値 が、 evt_mgmt.flap_interval プロパティで指定された期間内に、指定された evt_mgmt.flap_frequency プロパティ の値に達するか超える と、アラートはフラッピングステータスに入ります。 スケジュール設定済みジョブ「 Event Management - close flapping alerts 」が5 分ごとに実行され、フラッピングアラートを処理します。 5.追加情報 確認 アラート アラートが既知であり、一時的に無視できることを示します。 アラートを確認してもそのアラートが自分にアサインされることはなく、インシデントや変更リクエストなどのタスクが作成されることもありません。他のオペレーターに、問題について認識していることを知らせるだけです。確認したら、トリアージステージでアクションを実行します。 自動クローズアラート evt_mgmt.alert_auto_close_interval：オープンアラートが自動的にクローズされる間隔 (時間単位)。 0 に設定すると、機能が無効になります。 evt_mgmt.alert_closes_incident - アラートをクローズすると、インシデントが解決されるか、インシデントがクローズされるか、または何も実行されません。 evt_mgmt.alert_reopens_incident - アラートを再オープンすると、新規インシデントを作成するか、インシデントを再オープンするか、 何も実行されません。 evt_mgmt.incident_closes_alert - true の場合、インシデントを解決すると関連するアラートがクローズされます。それ以外の場合はアクションは実行されません。 重点 アラートテーブルで作成されたビジネスルールは、数ミリ秒を超えないようにする必要があります。ビジネスルールを使用する代わりに、ジョブを使用して同じ機能を実現できるかどうかを検討してください。 アラートと CI を関連付けることにビジネスルールを使用しないでください。関連付けにはビジネスルールを使用せず、イベントルールを使用してください。