基于内容的警报分组
基于内容的警报分组可以通过可预测的,同质的警报数据进行自定义的警报分组,而无需培训算法。借助基于内容的警报分组,在一组选定字段上共享确切匹配的警报将分组为最新的公开事件。分组的警报意味着响应者的事件和中断,触发事件的更丰富的背景以及较低的分辨率时间。
可用性
所需的用户权限
具有以下角色的用户可以编辑服务的警报分组设置:
- 帐户所有者
- 管理员和全球管理员
- 用户
- 经理基础角色和团队角色
- 经理团队角色只能管理与团队相关的服务。
启用基于内容的警报分组
重要笔记
- 基于内容的警报分组需要在常见事件格式(PD-CEF)。
- 仅当所有选定字段都有一个精确的匹配。
- 类似于其他警报分组方法,基于内容的警报分组仅将同一服务上的警报分组。
- 选择服务服务目录点击姓名您想使用基于内容的警报分组的服务。
- 选择设置选项卡并单击编辑在下面减少噪音部分。
- 选择基于内容,然后单击创建分组。
- 选择您是否希望将警报分组为全部或者任何指定字段匹配。
- 如果全部选择,当确切匹配时,将分组警报每个指定的字段。
- 如果任何选择,当确切匹配时,将分组警报至少一个指定字段。
- 有两种指定警报分组字段的方法:
- 在屏幕的右侧,选择一个最近收到的警报以从该特定警报中查看数据有效载荷。直接单击要添加到分组标准的字段,它们将被添加到您的配置中。或者
- 选择您的首选字段名称来自选择一个字段左边的下拉:
- 班级
- 零件
- 团体
- 严重程度
- 资源
- 概括
- 自定义详细信息:要在自定义字段中的值分组,请选择自定义详细信息从下拉列表中输入您的自定义字段名称。确保您的拼写和资本化与警报的字段完全匹配。看到下面的常见问题解答有关使用点符号访问嵌套自定义详细信息字段的更多信息。
嵌套自定义详细信息示例
- 可选的:如果需要,请选择添加字段要添加一个额外的字段以匹配。
- 点击节省。
更新基于内容的警报分组
后启用基于内容的警报分组,您可以随时调整分组标准。
- 选择服务服务目录点击姓名您想使用基于内容的警报分组的服务。
- 选择设置选项卡并单击编辑在下面减少噪音部分。
- 和基于内容选择,单击编辑分组。
- 进行所需的更改,然后单击节省。
请注意,基于内容的警报分组将忽略任何先前保存的条件,并且每次保存时都会开始将警报分组为新事件。换句话说,基于内容的警报分组在确定是否对警报进行分组或触发新事件时不会考虑任何先前保存的标准。
禁用基于内容的警报分组
在Web应用程序中选择其他分组方法,或禁用所有警报分组:
- 导航服务服务目录选择姓名您想要的服务。
- 选择设置选项卡并单击编辑旁边减少噪音。
- 选择所需的分组方法或关闭警报分组。
- 点击保存更改。
从匹配条件中删除字段
如果您将多个字段配置为匹配条件的一部分,则可以选择删除单个字段。
- 导航服务服务目录选择姓名您想要的服务。
- 选择设置选项卡并单击编辑旁边减少噪音。
- 在您希望删除的字段右侧,单击。
删除标准
- 点击节省。
常问问题
提醒小组将涉及到事件多长时间?
扩张
基于内容的警报分组将将警报分组为事件,直到解决或最多24小时。在此之后,将创建新事件。
如果我为现场匹配条件选择了“任何”,并且发生以下情况:警报A在一个指定的字段上与警报B具有确切的匹配;警报B与其他字段上的警报C具有完全匹配;警报C没有警报A的匹配字段A。如何将警报分组?
扩张
警报A和B将分为一个事件。将为警报创建一个新事件。基于内容的警报分组不会链接带有随后的警报的链条字段,并且警报被分组为具有确切匹配的最新事件。
如何将嵌套自定义详细信息字段作为我基于内容的警报分组配置的一部分?
扩张
使用点符号指定嵌套自定义详细信息字段,例如field_name.nested_field1。笔记:仅当您的字段嵌套在对象中(而不是字符串)时,点表示法才能起作用。例如,如果您的自定义详细信息看起来像{“ field_name”:“ nested_field1 = value,nested_field2 = value”},进入field_name.nested_field1将要不是允许您在嵌套字段上进行分组。如果要从字符串中分组一个值,则可以使用事件规则。
我可以操纵或合并不同字段的内容以用作警报分组标准吗?
扩张
是的,与动态场富集和提取。
更新 大约2个月前
这个页面对你有帮助吗?