レコードの種類

最終更新日: 27 年 2023 月 XNUMX 日

Dexda の洞察はアラートに基づいており、アラートは監視対象のソースからの着信イベントに基づいており、機械学習プロセスによって自動的にグループ化されます。 さまざまなソース形式からのイベントが正規化され、同種の形式に再構築されます。 これにより、Dexda はイベントの発生源に関係なく、同じ方法でイベントを分析および処理できます。

着信イベントは分析、監視、重複排除され、繰り返される一連のイベントはイベント コンテナに格納されます。 イベントが繰り返されると、アラートが作成され、同じタイプの複数のイベントがアラートに追加されます。

注: Dexda では、イベントとアラートは別のものであることに注意してください。 Dexda のイベントは、LogicMonitor からの着信アラートです。 アラートはグループ化されたアラートであり、相関すると Dexda で洞察になります。

以下では、イベント、アラート、および分析情報に関する情報をデータベースに格納するときに使用されるデータ レコードの種類と形式について説明します。 インサイトへのイベントとアラートの処理については、次を参照してください。 インサイトについて.

イベント記録

Dexda エージェントは、サポートされているイベント ソースから受信または送信されたイベントを処理し、それらを Common Event Format (CEF) に正規化します。

CEF イベントは Dexda にストリーミングされ、そこですぐにイベント管理プロセスに入ります。 イベント処理が完了すると、イベントはデータベースに格納され、イベント インデックスを介してクエリできるようになります。

イベント記録フォーマット

イベント フィールドの定義は次のとおりです。

グループコラム 説明
_ididデータベース レコードの ID。
cfフィールドの cf グループは、イベントの正規化プロセスによって入力されます。
イベント時間日付時刻ソース イベントの UTC タイムスタンプ。
イベントソース文字列イベントが生成された監視/管理ツール、アプリケーション、ログ、または API。
イベント名文字列報告されたイベントの名前 (「ディスク容量不足」や「CPU 使用率が高い」など)。
イベント重大度整数イベントの重大度の数値。ここで、6 は致命的です。 5 は重大です。 4 はメジャーです。 3 はマイナーです。 2 は警告です。 1 は情報です。 0 はクリアです。 サポートされている各イベント ソースの正規化プロセスでは、「クリア」または「リセット」イベントから Dexda クリア イベントへの変換が自動的に処理されます。
イベントCI文字列サーバーやルーターのホスト名など、イベントが報告されている構成アイテム。
イベントオブジェクト文字列ディスクやデータベース インスタンスなど、イベントが関係する CI 上のオブジェクト。 イベントに特定のオブジェクトがない場合、このフィールドは空のままにすることができます。
イベントの説明文字列イベントの簡単な要約。
イベントの詳細文字列イベントの詳細な要約。
メタフィールドのメタ グループは、イベント レシーバー サービスによって設定されます。
エージェントID文字列エージェント ID。
エージェントCI文字列エージェント CI (構成アイテム)。
エージェントIPエージェントの IP アドレス。
エージェントタイムスタンプエージェントのタイムスタンプ。
アラートキーアラート キー。
アラートキーリストアラート キー リスト。
ドメインテナント ID。
イベントパイプラインタイムスタンプパイプラインのタイムスタンプ。
イベントタイムスタンプタイムスタンプ。
組織ID組織 ID。
レシーバー ID受信者 ID。
受信機タイムスタンプ受信者のタイムスタンプ。
ルールマッチカウントトリガーされたルールの数。
ルール一致IDリストルール ID トリガー リスト。
バージョンバージョン。
raw.sourceRecordソースレコード。
余分な追加のフィールド グループは、イベント エンリッチメント プロセスによって入力されます。 フィールドは各顧客に固有です。
snc_cmdb_ci_environment
snc_cmdb_ci_lmdx_domain
snc_cmdb_ci_name
snc_cmdb_ci_operational_status
snc_cmdb_ci_sys_domain
snc_cmdb_ci_sys_id
snc_cmdb_ci_url

アラート記録

自動ルールの実行に応答してアラートの作成アクションが実行されると、アラートが作成されます。 アラートの作成アクションは、新しいアラート レコードを作成し、イベント フィールドをトリガー レコードからアラートにコピーします。

アラート レコードの形式

アラート フィールドの定義は、次のとおりです。

グループコラム 説明
_ididデータベース レコードの ID。
cfフィールドの cf グループは、イベントの正規化プロセスによって入力されます。 見る イベント記録.
イベントCI設定項目。
イベントの説明アラートの短い要約。
イベントの詳細アラートの詳細な要約。
イベント名名前
イベントオブジェクトオブジェクト
イベントソースソース。
メタフィールドのメタ グループは、イベント レシーバー サービスによって設定されます。 見る イベント記録.
エージェントCIエージェント構成アイテム。
エージェントIDエージェント ID。
エージェントIPエージェントの IP アドレス。
エージェントタイムスタンプエージェントのタイムスタンプ。
作成されたタイムスタンプタイムスタンプを作成しました。
ドメインテナント ID。
イベント数イベント数。
イベントパイプラインタイムスタンプパイプラインのタイムスタンプ。
イベントタイムスタンプタイムスタンプ。
最初のイベントのタイムスタンプ…の最初のイベントが登録された時間??
InsightKeyListインサイト キー リスト。
最後のイベントのタイムスタンプ…の最後のイベントが登録された時刻??
メタリンク恒久的な URL。
組織ID組織 ID。
レシーバー ID受信者 ID。
受信機タイムスタンプ受信者のタイムスタンプ。
行キー元のキー。
更新されたタイムスタンプタイムスタンプを更新しました。
バージョン…??のバージョン番号
raw.sourceRecordソースレコード。
余分な追加のフィールド グループは、イベント エンリッチメント プロセスによって入力されます。 フィールドは各顧客に固有です。 ほらみて イベント記録.
snc_cmdb_ci_environment
snc_cmdb_ci_lmdx_domain
snc_cmdb_ci_name
snc_cmdb_ci_operational_status
snc_cmdb_ci_sys_domain
snc_cmdb_ci_sys_id
snc_cmdb_ci_url
アラート詳細フィールドの alertDetails グループは、デフォルトの Create Alert アクションによって入力されます。
アラートが作成されました日付時刻アラートの作成をトリガーしたイベントの eventTime。
更新時間日付時刻alertState が非クローズ状態のままである間に発生した、同じイベント インデックスを持つ最後のイベントの eventTime。
アラートカウントint型alertState が非クローズ状態のままである間に、イベント インデックス (アラートをトリガーした) が繰り返された回数。 このプロセスは、しばしば重複除外と呼ばれます。
現在の重大度int型最後のイベントの重大度。
最高の重大度int型アラートの重複除外イベント セットに含まれる、重大度が最も低いイベント。
最悪の重大度int型アラートの重複除外イベント セットに含まれる最も重大度の高いイベント。
アラート状態文字列アラートの状態。
アクション済みによって行動されました。
に割り当てられたアラートの担当者の名前。
ルールキー帽子が適用されたルールのキーは…??
ルール名アラート生成に適用されたルールの名前。
ルール値ルールの価値は…??
sncインシデント IDServiceNow インシデント ID。
sncインシデント優先度ServiceNow インシデントの優先度。
sncIncidentURLServiceNow インシデントへのリンク。
sncRunbookId適用された ServiceNow ランブックの ID。
sncRunbookURL適用された ServiceNow ランブックへのリンク。
ワークフロー状態アラートのエスカレーション状態。 見る インサイトについて.
SNCsnc グループは、ServiceNow 統合モジュールのインシデント作成アクションによって入力されます。
sncインシデントID文字列ServiceNow から返されたインシデント番号。
sncIncidentURL文字列ServiceNow から返されたインシデント URL。

インサイト レコード

インサイトは、機械学習とパターンを使用したアラートのグループ化と、アラート相関からのアラート重大度に基づいて作成されます。

インサイト レコードのフォーマット

インサイト フィールドの定義については、以下で説明します。

グループコラム 説明
_ididデータベース レコードの ID。
メタ
アラートキーリストアラート キー リスト。
作成されたタイムスタンプインサイトが作成された時刻。
ドメインテナント ID。
最初のイベントのタイムスタンプ最初のタイムスタンプ。
最後のイベントのタイムスタンプ最後のタイムスタンプ。
恒久的な URL。
mlプロセッサタイムスタンプMLプロセッサーの時代は…??
組織ID組織 ID。
行キー洞察の鍵。
状態インサイトの様子は…?? 見る インサイトについて.
合計アラートアラートの数。
更新されたタイムスタンプインサイトが最後に更新された時刻は…??
アラートキーリストアラート キー リスト。
最も早いイベントタイムスタンプインサイトに関連付けられた最初のイベントが登録された時刻は…??
最新イベントタイムスタンプ最新のイベントのタイムスタンプ。
mlプロセッサタイムスタンプML プロセッサのタイムスタンプ。
ml
因果CI因果構成アイテム。 問題の原因となったリソースは…??
説明説明。 洞察に関連する記述の要約…??
影響を受けたCIList影響を受ける構成アイテム。
洞察の深刻度インサイトに関連するアラートの最高重大度は…??
モデル ID リストモデル ID リスト。
タグリスト関連するアイテムの説明と関連するキーワードを要約した、相関モデルから派生したタグ。
ui結果ML UI の結果。
説明ML の説明。
モデル ID リストモデル ID リスト。
重症度ML の重大度。
sourceML ソース。
状態ML 状態。
インサイトの詳細
に割り当てられたに割り当てられた。
sncインシデント IDServiceNow インシデント ID。
sncインシデント優先度ServiceNow インシデントの優先度。
sncIncidentURLServiceNow インシデントへのリンク。
ワークフロー状態インサイトのエスカレーション状態。 見る インサイトについて.
記事上で