Связь алертов с инцидентами
Вы можете связать один или несколько алертов с инцидентом, по следующим причинам:
- Несколько алертов можно интерпретировать как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае алерты в инциденте можно исследовать как отдельную проблему. Вы можете связать с инцидентом до 200 алертов.
- Один алерт может быть связан с инцидентом, если он определен как истинно положительный.
Вы можете связать алерт с инцидентом, если он имеет любой статус отличный от Закрыт. Алерт теряет свой текущий статус и приобретает статус В инциденте при связывании с инцидентом. Если вы связываете алерты, которые в настоящее время связаны с другими инцидентами, удаляется связь алертов с текущими инцидентами, так как алерт может быть связан только с одним инцидентом.
Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.
Алерты могут быть связаны с инцидентом вручную или автоматически.
Связывание алертов вручную
Чтобы связать алерты с существующим или новым инцидентом:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты.
- Установите флажки рядом с событиями, которые требуется связать с инцидентом.
- Если вы хотите связать алерты с существующим инцидентом:
- Нажмите на кнопку Связать с инцидентом.
- Выберите инцидент, с которым нужно связать алерты.
Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Связать с инцидентом в панели инструментов.
- Если вы хотите связать алерты с новым инцидентом:
- Нажмите на кнопку Создать инцидент.
- Заполните свойства нового инцидента: имя, исполнитель, приоритет и описание.
Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Создать инцидент в панели инструментов.
- Нажмите на кнопку Сохранить.
Выбранные алерты связаны с существующим или новым инцидентом.
Автоматическая привязка алертов
Если вы хотите, чтобы алерты автоматически связывались с инцидентом, вам нужно настроить правила сегментации.
