アラートチケットシステムの特徴

Alerts and Ticketingは、ゼロからの統合システムです（別のGUIを備えたボルトオンパッケージではありません）。 Toolbox MonitoringからのアラートとSyslogなどの外部アラートをまとめ、Toolbox Live Maps（プローブを含む）を含むシステム全体でそれらを分類して提示します。

チケットは自動的に生成することも、手動で追加して、一般チームまたは専門チームに送信することもできます。 システムは、エレガントでありながらワールドクラスのセットアップを使用して、エンジニアおよびスーパーバイザーのプールと通信することにより、チケットを自動的に追跡および追跡します。 図はポーリング操作を示しています。次のページを参照してください。

アラートシステムの機能

このシステムは、アラートを分析および分類し、他の（SIEM）アラート管理システムと連携して、分散ツールボックスGUI、特にライブマップにアラートを表示するように設計されています。

アラートは、ツールボックス内のモニターによって作成され、外部のネットワークデバイスによってSNMPTRAPおよびSyslogメッセージとして作成されます。 これらのソースはアラート処理で結合され、[アラートの確認]トップパネルの未加工のアラートフォームに表示されます。 アラートは多くのカテゴリ（ユーザーがプログラム可能）に分類され、標準および（オプションで）ユーザー作成ダッシュボードに表示されます。

アラートは、トリアージ（アラートフラッドを強制終了）を使用して変更および収集でき、ジョブチケットの作成に使用できます。 最初のアラートは、アラートフィルターシステムを使用してフィルターマッチャーで分類する必要があります。これにより、アラート分類（フィルター）をマップアニメーションにも適用できるため、後で時間を節約できます。

着信アラートは、優先度を変更したり、メッセージをわかりやすいものに変更したりするように変更される場合があります。 その後、TRAPSまたはSyslogとして再送信するか、内部で処理することができます。

ジョブチケットシステムはトリアージと連携し、3つのチケット優先度を持つ強力でシンプルなジョブチケット割り当てシステムです。 エンジニアのプールは、サーバーのメンテナンスや地理的領域などの特定の機能に対処するためにユーザーによって作成されます。 単一のインターフェースは、トラックエンジニアへのレポートとチケットの進行状況のフルセットを含む、チケットの優先度ごとのアクションを指定します。

アラートソース図

アラートチケットシステムの概要画面

完全なアラートトリアージおよびチケットシステムが必要ない場合は、クイック却下アラートメカニズムを使用できます。 

以下のアラートのリストを含むアラートGUIの例：

新しいアラート（トリアージされていない）–行にチェックマークを付けてからボタンを押してアラートを閉じます。以下を参照してください。

単純なアラートを却下しますか、それとも完全なトリアージシステムですか？

アラート操作

着信する新しいアラートの処理は、

1. 新しいアラート画面でチェックを入れて、それらを却下します

または2）アラートトリアージシステムによってインテリジェントに処理されます。

1) シンプルな新しいアラートの却下プロセス

• +使い方は簡単です。
• +セットアップは必要ありません。
• –すべてのアラートは手動で閉じる必要があります。
• –チケットを自動的に作成することはできません。
• –アラートフラッドを自動的に抑制できません。

2）新しいアラートプロセスのトリアージ

• +アラートフラッドをチケットに変換することで自動的に抑制します（アラートは後でドリルダウンするためにチケットにリンクされています）。
• +エンジニアリソースを割り当て、修正処理を追跡するためのチケットを作成します。
• +トリアージ分類に基づいてアラートを分析するための広範なレポート。
• –エンジニアのプール、電子メール、アラートチケット、トリアージルールの設定が必要です。

チケットの完全なステータス追跡

これは非常にメジャーなアップグレードであり、完全な追跡と、エンジニアとチケットの両方とのやり取りが可能です。以下のヘルプシステムを除くを参照してください。–

右側のウィンドウには、チケットステータスのライブアップデートを提供するチケットサマリーグリッドが含まれています。–

チケット行をクリックすると、チケットの概要が次のように表示されます。–

ここでは、チケットをすぐにキャンセルしたり、割り当てられたエンジニアに更新を要求したり、別のエンジニアにチケットを再割り当てしたりすることができます。

アラートとチケットの使用方法

すべての種類のアラートは、最初は[アラート]タブのトップパネルグリッドに表示されます。

それらは単に解雇されるか、トリアージシステムを使用してジョブチケットを作成することにより自動解雇を使用することができます。

ただし、受信アラートに一致するトリアージルールがある場合、アラートは自動的に確認され、トップパネルグリッドから削除されます。 一致するアラートはシステムに保持され、トリアージ分析グリッドレポートで表示できる一致するトリアージルールに添付されます。

トリアージシステムを使用するための鍵は、トリアージルールの一致をトリガーするために使用されるアラートフィルターマッチャーを設定することです。

アラートタブ付きグリッドの使用

グリッドには新しいアラートが表示されます。これは、アラートの使用と単純なアラートの却下で説明されているように却下できます。

チケット付きアラートは、ステータス列にリストされているトリアージルールに基づいて正常にトリアージされたアラートです。この場合、アラートは遅いPing時間のトリアージルールを使用してチケットが発行されています。

[All Alerts ]タブには、手動で却下されたアラートとトリアージで却下されたアラートを含むすべてのアラートが表示されます。 リストは、標準のグリッド機能を使用して検索/フィルタリングおよびソートできます。 抑制されたアラートとは、トリアージシステムによって自動的に抑制されているアラートを指します。

[却下されたアラート]タブを使用して、手動で却下されたアラートを表示できます。

Windowsアラートの取得

Toolboxは、WMIを使用してWindowsボックスと通信し、Windows NTログからイベントを収集して、Toolbox AlertFormatに変換できます。 その後、ツールボックスで通常どおり処理されます。つまり、アラートフィルタを使用して、アラートを変更したり、チケットを作成したり、SYSLOGまたはSNMPトラップとして送信したりできます。

次の図のように、[Windowsログの設定]ボタンをクリックすると、Windowsアラート処理が設定されます。

次のダイアログが表示されます。 Windowsシステムから取得するWindowsログとアラートの優先度を選択します。

アラートと単純なアラート解除の使用

このパネルには、Simple DismissAlertsシステムまたはトリアージシステムの結果の両方で何が起こっているかを示すいくつかの分類の下にアラートが表示されます。

Simple Manual Alerts Dismissシステムを使用して、グリッド行のチェックボックスをクリックしてアラートを選択し、[アラートを閉じる]ボタンをクリックします。 以下のようなポップアップが表示されます：-

ダイアログの[アラートの却下]ボタンをクリックすると、アラートが[却下されたアラート]タブに移動し、ツールボックスでアクティブでなくなります。 マップまたは診断で。

発券プロセスの図

チケットは、トリアージエンジンによって自動的に作成することも、ツールボックスWebGUIで手動で追加することもできます。

トリアージルールまたは手動チケットダイアログボックスによって割り当てられたグループに応じて、チケットは特定のエンジニアグループに割り当てられます。 新しいチケットは、電子メールでエンジニアに割り当てられます。

スーパーバイザーは、セットアップの場合、チケットの割り当てと電子メールによる応答の失敗について常に通知されます。

電子メールによるエンジニアとのコミュニケーション

以下は、新しいチケットの作成に対するツールボックスチケットシステムのアクションです。 最初に、システムは、チケットで指定されているのと同じエンジニアグループ内の無料のエンジニアを探します。

ツールボックスエンジニア間の電子メール*コマンド*

 チケットは、次の形式でエンジニアに割り当てられます。

<<<You have been assigned this Ticket – Reply *ACCEPT* or *DECLINE*

*?* for command help>>>

Add Comments after the REPLY CODE (*….*) terminated by ** 

Priority Expedited – Ticket Reference #100103,

Created 2018-06-13 11:33:16, As Slow Ping Time

Device –  http://www.worldtimeserver.com/ [http://www.worldtimeserver.com/]  Global  web site  no vendor  – Location USA 

Site – Local

(Ticket Assignment Summary – Alarm From DEV 1 System Monitor Pinger – Alarm 117ms” Alert “Low Value Test”  Regarding  http://www.worldtimeserver.com/ [http://www.worldtimeserver.com/]  Global  web site  no vendor  Location USA

Pinger QoS>Average Ping Time 130 ms Above Limit 117 ms  )

エンジニアは、通常「ACCEPT *」の後に「今すぐ調査します**」などのコメントを付けて返信することで、チケットを受け入れるように招待されます。 **は、エンジニアのコメントを終了するために使用されます（省略された場合、残りのメールはシステムによってログに記録されます）。 返信を読んでいるツールボックスシステムでは、エンジニアに確認が送信され、システムはチケットとエンジニアのステータスを更新します。

“*ACCEPT*” I will accept responsibility for this ticket. Ticket now registered to this Engineer.

“*DECLINE*” I cannot accept this ticket. 
“*REASSIGN*” Although I accepted this Ticket I now need someone else to deal with it. The Ticket is advertised to all Engineers in Group

“*UPDATE*” Here is a Status Update, Status Updates may be Requested by the Supervisor too.

“*COMPLETED*” I have successfully completed the Ticket. The Ticket is now marked as Closed Successfully.
“*NOSOLUTION*” I have not been able to fix the problem and have marked as closed Unsuccessfully.

These are Status Message sent by the Engineer to Update the Supervisor – they do not impact existing Ticket Assignments.
“*BUSY*” I cannot Accept more Tickets, until updated by an AVAILABLE message to the Toolbox System.
“*AVAILABLE*” I can now accept new Tickets
“*SICK*” – reporting in Ill
“*HOLIDAY*”, – reporting in On Holiday

“*HELP*” or “*?*” – Request for a full list of Commands and their meaning.

チケット概要ダイアログの使用

右側のウィンドウには、チケットステータスのライブアップデートを提供するチケットサマリーグリッドが含まれています。

チケット行をクリックすると、チケットの概要が次のように表示されます。

ここでは、チケットをすぐにキャンセルしたり、割り当てられたエンジニアに更新を要求したり、別のエンジニアにチケットを再割り当てしたりすることができます。

チケットパネルの説明

このパネルでは、いくつかのチケット機能にアクセスできます。

次のように、[チケットの追加]ボタンをクリックすると、アラートトリアージシステムを経由せずに、オペレーターが新しいチケットをチケットシステムに直接追加できます。

チケットの進行状況に関するすべてのエンジニアのステータスと、個々のチケットイベントへのさらなるドリルダウンは、以下のように利用できます。

グリッド行をクリックすると、そのエンジニアのイベントの分析が次のように表示されます。

スーパーバイザーのグリッド行をクリックすると、スーパーバイザーのイベントリストも表示されます。

アラートフィルターの使用

このパネルを使用すると、ユーザーは、単純なアラート優先度などの非常に広範囲に基づくアラートフィルタや、複数の一致コンポーネントを含む複雑なアラートテキストの一致などの非常に詳細なアラートフィルタを定義できます。

これらは主にアラートのトリアージで使用されますが、ツールボックス製品のトポロジマップでアラートアニメーションをフィルタリングするためにも使用できます。

ツールボックスアラートグループ

このマッチャーは、Toolboxの内部アラートタイプグループと一致します。最前線の機能ではなく、完全を期すために追加されています。 グループグリッド列をオンにしてツールボックスの内部グループ名を学習することにより、生のアラートにグループを表示できます。

アラートフィルターの詳細な設定

新しいアラートフィルタを追加するには、下の黄色で強調表示されているボタンをクリックするだけです。

既存のアラートフィルタを編集するには、次のようにグリッド行をダブルクリックします。

アラートフィルターを追加または変更するには、次のように[アラートフィルターダイアログ]ポップアップを使用します。

このポップアップには非常に多くのオプションがありますが、通常、実際に必要なのは1つまたは少数です。

ここで、さまざまなオプションを1つずつ説明します。

タイトル、クラス、アイコンをフィルタリングする

フィルタの鍵は、一意のタイトルを入力することです。 名前は、フィルターが一致するものを示す必要があることが重要です。

オプションのクラスを追加することもできます。これは、セキュリティアラートの照合などのフィルタを分類するのに役立ちます。 注：クラスは、グリッドの下部にある[列]アイコンをクリックしてクラス列を追加することで、アラートグリッドに表示できます。

さらに、オプションのアイコンをフィルター一致に追加できます。 これは、ツールボックスシステム全体でフィルターをよりグラフィカルにするために強くお勧めします。

アラートの優先度に一致

着信アラートの優先度は、最初に条件を選択し、次に2つのドロップダウンメニューで優先度レベルを選択することで一致させることができます。 おそらくいくつかのアラートフィルター一致プロパティと組み合わせて、優先度の高いアラートを一致させるのに役立ちます。

IPアドレスまたはツールボックスグループと一致する

これは、IPアドレスのタイプ：オプションを選択することで、IPアドレス全体または「10.26。」などのIPアドレスのフラグメントを照合するために使用できます。

グループのタイプ：オプション を選択すると、フィルタは指定されたグループのIP範囲内のIPアドレスを検索します。 注：グループは、[設定]タブ-> [グループ]パネルで設定します。

ユニット/デバイスタイプの一致

これは、スイッチ、ルーター、サーバーなどのデバイス（ユニット）タイプを照合するために使用されます。 たとえば、レイヤ3スイッチとレイヤ2スイッチを一致させるには、 *スイッチを一致させて、ワイルドカードの * 文字で一致を開始します（つまり、 L3スイッチを一致させます）。 また、スイッチ）。

メッセージテキストに一致

これは、 Syslogメッセージのコンテンツや SNMPトラップのコンテンツ、ツールボックスで生成されたアラートなどのメッセージのコンテンツと一致するため、おそらく最も重要な一致です。 >しきい値違反など。

マッチャーは、 * や _ などのワイルドカードを最大限に活用して、それぞれ複数の文字または単一の文字をワイルドカード化します。

マッチャーには、1つから4つまでの個別のマッチャー用語を含めることができ、それらを一緒にANDまたはORすることができます。

ワンチーム

2つのORed用語

除外用語が一致しない2つの用語

3つの用語と一致。

トリアージを使用したチケットシステムのジョブ

トリアージシステムはアラートフィルターに依存します。以下を参照してください。

たとえば、Toolbox NetflowAnalyticsからのアラートに一致するアラートフィルターが作成されました。

トリアージは、以下のようにフィルターを参照してトリアージアクションを開始します。この場合は、ジョブチケットを作成します。

タイトルは、ユーザーが設定するトリアージルールの名前であり、トリアージルールを説明する必要があります。

絶対に重要なのは、マッチアラートフィルターです。これは、システム内にあるすべてのアラートフィルターのドロップダウンリストであり、アラートフィルターの下に設定されています。 パネル。

トリアージルールに関連付けることができ、ツールボックスによって処理されて、トリアージがトリガーされた理由のドリルダウンを示す多くのレポートを作成するアラートフィルターがいくつか存在する可能性があります。 たとえば、アラートフィルタは、すべてルールトリガーに関連付けられるPinger、TCPポート、およびWebページアクセスのアラートを追跡するように設定できます。 中間リンクやデバイスなどの他の障害点は、パケットのドロップ、応答の遅延などのアラートフィルタ（SNMPやPingersに基づく）を使用して追跡でき、トリアージルールのドリルレポートに情報を追加したり分析したりできます。

このジョブチケットトリアージルールの一致アクションは、どのサポートチームにチケットが割り当てられるかを指定します。 Toolboxによってセットアップされる標準のチームはいくつかありますが、ユーザーは必要な数のサポートチームを追加できます。 優先度のドロップダウンで、緊急、優先、またはルーチンを選択します。これらは、割り当てと進行時にチケットがどのように処理されるかに直接影響します。 切符売場。 緊急チケットは、ツールボックスジョブトラッキングシステムによって通常のチケットよりも積極的に追跡されます

ジョブチケットは、リモートプローブからのものを含むライブネットワークマップにも表示されます。

トリアージを使用したアラートの変更

アラートの変更システムは、一致 1つ以上のアラートフィルターである個々のアラートで機能します。

アラートの変更ルールには、一意の説明的なタイトルを指定する必要があります。

この変更タイプのトリアージルールをトリガーするために、1つ以上のアラートフィルターが選択されています。

オプションでアラートの優先度を変更するには、優先度：ドロップダウンコントロールを使用して優先度を選択します。 これを使用して、アラートの優先度をダウングレードして、一致するアラートの重要性を減らすことができます。または、指定したアラートフィルターの一致するアラートの優先度をアップグレードすることもできます。

アラートフィルターのマッチングに基づいて、より適切なグループまたは代替のグループがわかっている場合は、アラートグループ（クラス）を変更できます。

アラートテキストは、アラートを「テキストの追加」、「テキストの置換」、または「テキストのアラートへの追加」のいずれかに一致させるように変更できます。 不可解なアラートを説明したり、外国語のコンテンツをローカルサイトの言語に一致するように翻訳したりするのに役立ちます。

注：アラートの変更は、他のアラート処理が実行される前に実行されます。

トリアージを使用した直接アクションの実行

このトリアージタイプを使用すると、アラートをSNMP、電子メール、Syslogなどのさまざまなアラートタイプに変換するなど、さまざまなアクションを実行できます。 さらに、事前定義されたサーバースクリプトの実行をトリガーできます。 また、コピートラップやSyslogを使用して、特別な管理ステーションなどの別の宛先に転送することもできます。

他のトリアージタイプと同様に、メカニズムは事前定義されたアラートフィルターのマッチングによって駆動されます。

チケットの作成と処理

チケットはアラートとトリアージシステムによって作成され、オプションでツールボックスユーザーによって手動で作成されます。

チケットを処理するには、エンジニアとオプションでスーパーバイザーのリストが必要です。 新しいチケットが作成されると、システムはエンジニアのリストをスキャンして、チケットのサポートグループに一致する無料のエンジニアを探します。 サポートグループはツールボックスで事前定義されていますが、ユーザーは地理的地域などの他のグループを追加できます。

一致する無料のエンジニアが見つかると、システムはそのエンジニアにジョブチケットを電子メールで送信します。 エンジニアは、返信メールでそのチケットを*承認*または*拒否*することを選択できます。 システムは、エンジニアからの応答を追跡するために、電子メールの件名行（編集しないでください）のチケットリファレンス＃999999に依存しています。

エンジニアは、病気などの予期しない状況をいつでもシステムと同様に可用性に非同期で報告できます。 休日と可用性は、Toolboxに送信された計画に基づいてシステムによって追跡されます。 Toolbox エンジニア間の電子メール*コマンド*を参照してください。

チケットは、[ルールとタイムアウトの編集]ボタンで設定されたルールに従って処理されます。 これは、割り当てや手順の失敗についてスーパーバイザーが電子メールで更新された場合など、タイムアウト（チケットの優先度ごと）と手順を指定します。

エンジニアリクエストの完全なリスト

これらのメッセージは、システムによってエンジニアに自動的に送信されます。

“You have been assigned this Ticket – Reply *ACCEPT* or *DECLINE*”

“Job Ticket Offer to Any Engineer – Reply *ACCEPT* to take this Ticket”

“The system has Acknowledged you have ACCEPTED this Ticket.\n You can supply progress details using further *UPDATE* replies and *COMPLETED* when Ticket is completed successfully.\n Reply *REASSIGN* to relinquish this Ticket.\n Reply *NOSOLUTION* to indicate not fixable”

“There was no Response from you to Ticket Assignment – Reply *ACCEPT* or *DECLINE*”

“Can you update the system on Progress – Type *UPDATE* then details or *CLOSED* or *REASSIGN* or *NOSOLUTION*”  

“The system did not recognise your response – please respond with the Correct Reply Text “

“The system did not recognise your last response – the Ticket details will be re-sent now (do not modify the Header Line)”

“The system has Acknowledged you have DECLINED this Ticket.”

“Supervisor – Ticket has been assigned to “

“Supervisor – Ticket Assignment Timeout – Re-Assigning Ticket”    

“Ticket Completed Confirm”,     

“Ticket No Solution Confirm”,    

“UPDATE receipt confirm”,     

“The system has Acknowledged you have RE-ASSIGNED this Ticket.”,                            

“The System Operator has Cancelled this Ticket.”,                           

“The System Operator has Re-Assigned this Ticket.”,

“Maximum Job Time Exceeded for this Ticket.”,

“Help – *ACCEPT* offered ticket\n*COMPLETED* ticket completed ok\n*UPDATE* add details to ticket\n*REASSIGN* re-allocate ticket to engineers\n*NOSOLUTION* close not fixed\n\nTo Supervisor Status Update – *BUSY*, *AVAILABLE*, *SICK*, *HOLIDAY*”