インシデントの作成が遅れているか、インシデントがアラートから作成されない。Issue <!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } この KB では、インシデントがアラートから作成されない場合、またはインシデントの作成が遅れた場合のトラブルシューティング手順について説明します。解決への明確な手順を示すシナリオもあれば、トラブルシューティング作業の方向性を示すシナリオもあります。 スケジュール済みジョブ「イベント管理 - アラート管理ルールの評価」は、アラートを処理し、アラートアクションルールまたはアラート管理ルールが構成されている場合、そのようなアラートを処理した結果としてインシデントを作成します。 注意: sys_trigger.name の最大長が 40 であるため、このジョブのsys_triggerテーブル「name」フィールドは「Event Management - Evaluate Alert Manage」です。また、古いバージョンでは、インシデントを作成するジョブを「イベント管理 - アラート別の作成/解決済みインシデント」として作成します (40 レットに短縮されます)。 アラートアクションルール アラートアクションルールは従来であり、イベント管理はアラートを処理するためにアラート管理ルールに移行しました。 インスタンスにアラートアクションルールがまだ残っている場合は、アラート管理ルールに移行する方法について、次のドキュメントを参照してください。 アラートアクションルールからアラート管理ルールへの移行 アラートアクションルールを使用する場合、インシデントは「イベント管理 - アラート管理ルールの評価」ジョブによって作成されます。 アラート管理ルール アラート管理ルールを使用すると、「イベント管理 - アラート管理ルールの評価」ジョブによって必要なフローがトリガーされます。フローによってインシデントが作成されます。フローは「フローエンジンイベントハンドラー」ジョブによって処理されます。OOB:アラートからインシデントを作成するためのサブフローが提供されていますが、カスタムサブフローを作成することもできます。イベント管理のカスタムサブフローの作成については、「カスタムサブフローの作成」を参照してください Release<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Cause<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 01 Sys_triggerジョブ「イベント管理:アラート管理の評価」が停止している。 これが問題かどうかを確認するには: sys_triggerジョブを検索します。 /sys_trigger_list.do?sysparm_query=nameSTARTSWITHEvent%20Management%20-%20Evaluate%20Alert%20Manage&sysparm_view= 「次のアクション」時間を確認します。このジョブは 11 秒ごとに実行する必要があります。この時間がはるか過去の日付である場合、これはこのジョブが停止していることを示しています。 02 サブフローに関する問題 03 OOB またはカスタムビジネスルールによるパフォーマンスの低下 04 BR インシデントの挿入を中止します。 05 アラート管理ルールですべてのドメインのインシデントが作成されない。 スケジュールジョブ「イベント管理 - アラート管理ルールの評価」は、ユーザー「システムアドミニストレーター」のグローバルドメインで実行されます。ユーザーはグローバルドメインに属しており、通常はすべてのシステムジョブがグローバルドメインで実行されます。xml を表示すると、次のジョブを実行しているユーザーを確認できます。OOB:これは run_as display_value="システムアドミニストレーター" になります。「システムアドミニストレーター」ユーザーまたはスケジュール済みジョブのドメインが改ざんされ、他のドメインに変更された場合、そのドメインからのアラートのみが評価されます。 06 アラートアクションルールの使用時にインシデントが作成されない。 アラートがアラートアクションルールで指定された条件と一致しません。 07 インシデント/タスクは、有効なアラート管理ルールを持つアラートに対して作成されません。 この状況は、インスタンスに従来のアラートアクションルールがまだアクティブ であり、それらのすべてがまだ アラート管理ルール に変換されていない場合に発生します。アラートがアラートアクションルールに対して評価されるが、アラートがアラート管理ルールによって処理されることが想定されている場合は、競合が発生します。この競合により、アラート管理ルールが正常に適用されなくなり、 インシデントの作成 ワークフローがトリガーされません。 Resolution<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 注: 解決のための一部の手順は、ServiceNow サポートが実行する必要がある場合があります。そのような場合は、サポートを受けるケースを作成してください。 01 Sys_triggerジョブ「イベント管理:アラート管理の評価」が停止しています。 sys_triggerジョブを検索します。 /sys_trigger_list.do?sysparm_query=nameSTARTSWITHEvent%20Management%20-%20Evaluate%20Alert%20Manage&sysparm_view= [要求元] 列と [システム ID] 列を追加します。実行中のジョブからスレッドダンプを取得します。ノードログを確認して、ジョブがスタックする可能性がある理由を探し、解決策を提供します。 02 サブフローに関する問題 インシデントを作成する必要があるアラートを開きます。アラートの「アラートの実行」を確認します。フローが作成されたかどうか、フローが実行されたかどうか、フローにエラーがあったかどうかを確認します。 アラートの実行情報 「フローエンジンイベントハンドラー」ジョブが実行中でスタックしていないかどうかを確認します sys_trigger_list.do?sysparm_query=name%3DFlow%20Engine%20Event%20Handler&sysparm_view= サブフローまたは「フローエンジンイベントハンドラー」ジョブに関する問題の解決 03 OOB またはカスタムビジネスルールによるパフォーマンスの低下 インシデントが作成されたノードを確認し、インシデントの作成時に遅いビジネスルールを参照しているログを探します。 04 BR インシデントの挿入を中止します。 インシデントの挿入を中止する可能性がある BR を探します。 05 アラート管理ルールですべてのドメインのインシデントが作成されない。 ジョブ「イベント管理 - アラート管理ルールの評価」を実行するユーザーとそのジョブがグローバルドメイン内にあることを確認します。 06 アラートアクションルールの使用時にインシデントが作成されない。 アラートが適切に一致するようにアラートフィルター条件を修正します。大文字と小文字が区別されることに注意してください。 07 インシデント/タスクは、有効なアラート管理ルールを持つアラートに対して作成されません。 システムプロパティ evt_mgmt.alert.management.enable_legacy_alert_action_rules を false に設定します。 注意: インスタンスでアラート管理ルールを機能させることが予想される場合は、従来のアラートアクションルールがアクティブであるという形で競合が発生してはなりません。上記のプロパティは、従来のアラートアクションルールの適用を無効にし、競合を回避します。まだ使用する必要があるアラートアクションルールがある場合は、アラート管理ルールへの移行を検討してください。 Related Links<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } いつかアラートが作成されていましたが、アラートが作成されてから数時間または数日後に突然インシデントが作成されるようになりました