レコードの種類
最終更新日: 27 年 2023 月 XNUMX 日Dexda の洞察はアラートに基づいており、アラートは監視対象のソースからの着信イベントに基づいており、機械学習プロセスによって自動的にグループ化されます。 さまざまなソース形式からのイベントが正規化され、同種の形式に再構築されます。 これにより、Dexda はイベントの発生源に関係なく、同じ方法でイベントを分析および処理できます。
着信イベントは分析、監視、重複排除され、繰り返される一連のイベントはイベント コンテナに格納されます。 イベントが繰り返されると、アラートが作成され、同じタイプの複数のイベントがアラートに追加されます。
注: Dexda では、イベントとアラートは別のものであることに注意してください。 Dexda のイベントは、LogicMonitor からの着信アラートです。 アラートはグループ化されたアラートであり、相関すると Dexda で洞察になります。
以下では、イベント、アラート、および分析情報に関する情報をデータベースに格納するときに使用されるデータ レコードの種類と形式について説明します。 インサイトへのイベントとアラートの処理については、次を参照してください。 インサイトについて.
イベント記録
Dexda エージェントは、サポートされているイベント ソースから受信または送信されたイベントを処理し、それらを Common Event Format (CEF) に正規化します。
CEF イベントは Dexda にストリーミングされ、そこですぐにイベント管理プロセスに入ります。 イベント処理が完了すると、イベントはデータベースに格納され、イベント インデックスを介してクエリできるようになります。
イベント記録フォーマット
イベント フィールドの定義は次のとおりです。
グループ | コラム | 説明 | |
_id | id | データベース レコードの ID。 | |
cf | フィールドの cf グループは、イベントの正規化プロセスによって入力されます。 | ||
イベント時間 | 日付時刻 | ソース イベントの UTC タイムスタンプ。 | |
イベントソース | 文字列 | イベントが生成された監視/管理ツール、アプリケーション、ログ、または API。 | |
イベント名 | 文字列 | 報告されたイベントの名前 (「ディスク容量不足」や「CPU 使用率が高い」など)。 | |
イベント重大度 | 整数 | イベントの重大度の数値。ここで、6 は致命的です。 5 は重大です。 4 はメジャーです。 3 はマイナーです。 2 は警告です。 1 は情報です。 0 はクリアです。 サポートされている各イベント ソースの正規化プロセスでは、「クリア」または「リセット」イベントから Dexda クリア イベントへの変換が自動的に処理されます。 | |
イベントCI | 文字列 | サーバーやルーターのホスト名など、イベントが報告されている構成アイテム。 | |
イベントオブジェクト | 文字列 | ディスクやデータベース インスタンスなど、イベントが関係する CI 上のオブジェクト。 イベントに特定のオブジェクトがない場合、このフィールドは空のままにすることができます。 | |
イベントの説明 | 文字列 | イベントの簡単な要約。 | |
イベントの詳細 | 文字列 | イベントの詳細な要約。 | |
メタ | フィールドのメタ グループは、イベント レシーバー サービスによって設定されます。 | ||
エージェントID | 文字列 | エージェント ID。 | |
エージェントCI | 文字列 | エージェント CI (構成アイテム)。 | |
エージェントIP | エージェントの IP アドレス。 | ||
エージェントタイムスタンプ | エージェントのタイムスタンプ。 | ||
アラートキー | アラート キー。 | ||
アラートキーリスト | アラート キー リスト。 | ||
ドメイン | テナント ID。 | ||
イベントパイプラインタイムスタンプ | パイプラインのタイムスタンプ。 | ||
イベントタイムスタンプ | タイムスタンプ。 | ||
組織ID | 組織 ID。 | ||
レシーバー ID | 受信者 ID。 | ||
受信機タイムスタンプ | 受信者のタイムスタンプ。 | ||
ルールマッチカウント | トリガーされたルールの数。 | ||
ルール一致IDリスト | ルール ID トリガー リスト。 | ||
バージョン | バージョン。 | ||
raw.sourceRecord | ソースレコード。 | ||
余分な | 追加のフィールド グループは、イベント エンリッチメント プロセスによって入力されます。 フィールドは各顧客に固有です。 | ||
snc_cmdb_ci_environment | |||
snc_cmdb_ci_lmdx_domain | |||
snc_cmdb_ci_name | |||
snc_cmdb_ci_operational_status | |||
snc_cmdb_ci_sys_domain | |||
snc_cmdb_ci_sys_id | |||
snc_cmdb_ci_url |
アラート記録
自動ルールの実行に応答してアラートの作成アクションが実行されると、アラートが作成されます。 アラートの作成アクションは、新しいアラート レコードを作成し、イベント フィールドをトリガー レコードからアラートにコピーします。
アラート レコードの形式
アラート フィールドの定義は、次のとおりです。
グループ | コラム | 説明 | |
_id | id | データベース レコードの ID。 | |
cf | フィールドの cf グループは、イベントの正規化プロセスによって入力されます。 見る イベント記録. | ||
イベントCI | 設定項目。 | ||
イベントの説明 | アラートの短い要約。 | ||
イベントの詳細 | アラートの詳細な要約。 | ||
イベント名 | 名前 | ||
イベントオブジェクト | オブジェクト | ||
イベントソース | ソース。 | ||
メタ | フィールドのメタ グループは、イベント レシーバー サービスによって設定されます。 見る イベント記録. | ||
エージェントCI | エージェント構成アイテム。 | ||
エージェントID | エージェント ID。 | ||
エージェントIP | エージェントの IP アドレス。 | ||
エージェントタイムスタンプ | エージェントのタイムスタンプ。 | ||
作成されたタイムスタンプ | タイムスタンプを作成しました。 | ||
ドメイン | テナント ID。 | ||
イベント数 | イベント数。 | ||
イベントパイプラインタイムスタンプ | パイプラインのタイムスタンプ。 | ||
イベントタイムスタンプ | タイムスタンプ。 | ||
最初のイベントのタイムスタンプ | …の最初のイベントが登録された時間?? | ||
InsightKeyList | インサイト キー リスト。 | ||
最後のイベントのタイムスタンプ | …の最後のイベントが登録された時刻?? | ||
メタリンク | 恒久的な URL。 | ||
組織ID | 組織 ID。 | ||
レシーバー ID | 受信者 ID。 | ||
受信機タイムスタンプ | 受信者のタイムスタンプ。 | ||
行キー | 元のキー。 | ||
更新されたタイムスタンプ | タイムスタンプを更新しました。 | ||
バージョン | …??のバージョン番号 | ||
raw.sourceRecord | ソースレコード。 | ||
余分な | 追加のフィールド グループは、イベント エンリッチメント プロセスによって入力されます。 フィールドは各顧客に固有です。 ほらみて イベント記録. | ||
snc_cmdb_ci_environment | |||
snc_cmdb_ci_lmdx_domain | |||
snc_cmdb_ci_name | |||
snc_cmdb_ci_operational_status | |||
snc_cmdb_ci_sys_domain | |||
snc_cmdb_ci_sys_id | |||
snc_cmdb_ci_url | |||
アラート詳細 | フィールドの alertDetails グループは、デフォルトの Create Alert アクションによって入力されます。 | ||
アラートが作成されました | 日付時刻 | アラートの作成をトリガーしたイベントの eventTime。 | |
更新時間 | 日付時刻 | alertState が非クローズ状態のままである間に発生した、同じイベント インデックスを持つ最後のイベントの eventTime。 | |
アラートカウント | int型 | alertState が非クローズ状態のままである間に、イベント インデックス (アラートをトリガーした) が繰り返された回数。 このプロセスは、しばしば重複除外と呼ばれます。 | |
現在の重大度 | int型 | 最後のイベントの重大度。 | |
最高の重大度 | int型 | アラートの重複除外イベント セットに含まれる、重大度が最も低いイベント。 | |
最悪の重大度 | int型 | アラートの重複除外イベント セットに含まれる最も重大度の高いイベント。 | |
アラート状態 | 文字列 | アラートの状態。 | |
アクション済み | によって行動されました。 | ||
に割り当てられた | アラートの担当者の名前。 | ||
ルールキー | 帽子が適用されたルールのキーは…?? | ||
ルール名 | アラート生成に適用されたルールの名前。 | ||
ルール値 | ルールの価値は…?? | ||
sncインシデント ID | ServiceNow インシデント ID。 | ||
sncインシデント優先度 | ServiceNow インシデントの優先度。 | ||
sncIncidentURL | ServiceNow インシデントへのリンク。 | ||
sncRunbookId | 適用された ServiceNow ランブックの ID。 | ||
sncRunbookURL | 適用された ServiceNow ランブックへのリンク。 | ||
ワークフロー状態 | アラートのエスカレーション状態。 見る インサイトについて. | ||
SNC | snc グループは、ServiceNow 統合モジュールのインシデント作成アクションによって入力されます。 | ||
sncインシデントID | 文字列 | ServiceNow から返されたインシデント番号。 | |
sncIncidentURL | 文字列 | ServiceNow から返されたインシデント URL。 |
インサイト レコード
インサイトは、機械学習とパターンを使用したアラートのグループ化と、アラート相関からのアラート重大度に基づいて作成されます。
インサイト レコードのフォーマット
インサイト フィールドの定義については、以下で説明します。
グループ | コラム | 説明 | |
_id | id | データベース レコードの ID。 | |
メタ | |||
アラートキーリスト | アラート キー リスト。 | ||
作成されたタイムスタンプ | インサイトが作成された時刻。 | ||
ドメイン | テナント ID。 | ||
最初のイベントのタイムスタンプ | 最初のタイムスタンプ。 | ||
最後のイベントのタイムスタンプ | 最後のタイムスタンプ。 | ||
恒久的な URL。 | |||
mlプロセッサタイムスタンプ | MLプロセッサーの時代は…?? | ||
組織ID | 組織 ID。 | ||
行キー | 洞察の鍵。 | ||
状態 | インサイトの様子は…?? 見る インサイトについて. | ||
合計アラート | アラートの数。 | ||
更新されたタイムスタンプ | インサイトが最後に更新された時刻は…?? | ||
アラートキーリスト | アラート キー リスト。 | ||
最も早いイベントタイムスタンプ | インサイトに関連付けられた最初のイベントが登録された時刻は…?? | ||
最新イベントタイムスタンプ | 最新のイベントのタイムスタンプ。 | ||
mlプロセッサタイムスタンプ | ML プロセッサのタイムスタンプ。 | ||
ml | |||
因果CI | 因果構成アイテム。 問題の原因となったリソースは…?? | ||
説明 | 説明。 洞察に関連する記述の要約…?? | ||
影響を受けたCIList | 影響を受ける構成アイテム。 | ||
洞察の深刻度 | インサイトに関連するアラートの最高重大度は…?? | ||
モデル ID リスト | モデル ID リスト。 | ||
タグリスト | 関連するアイテムの説明と関連するキーワードを要約した、相関モデルから派生したタグ。 | ||
ui結果 | ML UI の結果。 | ||
説明 | ML の説明。 | ||
モデル ID リスト | モデル ID リスト。 | ||
重症度 | ML の重大度。 | ||
source | ML ソース。 | ||
状態 | ML 状態。 | ||
インサイトの詳細 | |||
に割り当てられた | に割り当てられた。 | ||
sncインシデント ID | ServiceNow インシデント ID。 | ||
sncインシデント優先度 | ServiceNow インシデントの優先度。 | ||
sncIncidentURL | ServiceNow インシデントへのリンク。 | ||
ワークフロー状態 | インサイトのエスカレーション状態。 見る インサイトについて. |