Scenarios

Cisco Catalyst インバウンド通知の設定

5 minutes Authors Chris Putnam, Sam Scudere-Weiss, & Tim Hard
ITSI 4.21 には、Cisco Meraki および Catalyst Center アラート用のネイティブデータインテグレーションが含まれています。推奨される方法は、アラートを正規化するために必要な設定が事前に構成されたデフォルトの接続を有効にすることです。デフォルトの構成は、お客様固有のユースケースに合わせてカスタマイズできます。

このセクションでは、ロケーション間でイベントを相関できるようにアラートをカスタマイズし、サービスの正常性が正常に戻ったときにエピソードが自動的に解決されるようにステータスマッピングを更新します。

演習: アラートインテグレーションの設定

1. ITSI で、Configuration > Data Integrations に移動します。

2. Integrations libraryAlerts セクションで、Cisco Catalyst Center を選択します。

Info

Data Integrations ライブラリの Alerts セクションには、Catalyst Center と Meraki 用の事前構築済み接続が含まれています

Data Integrations

3. + Add Connection をクリックします。

Info

カスタム接続を追加すると、サーチ、フィールドマッピング、スロットリングの動作をデフォルトとは独立して制御できます

Add Connection

4. 名前に Catalyst Center Alerts と入力します。以下のサーチを使用します:

splunk 
index=netops sourcetype="cisco:dnac:issue"  
| eval itsi_site = case( isnotnull(SiteNameHierarchy) AND SiteNameHierarchy!="", mvindex(split(SiteNameHierarchy, "/"), 3), isnotnull(DeviceName) AND DeviceName!="", "Store-" . mvindex(split(DeviceName, "-"), 0) )

5. Validate をクリックします

6. Lookback period5 minutes に設定します

Info

検証により、保存前にサーチがイベントを返し、フィールドマッピングが正しいことが確認されます

Validate Connection

7. SourceMapping rule に更新し、タイプに Coalesce を使用します

8. 最初のフィールドとして DeviceName を、2番目のフィールドとして SiteName を選択します

9. else use the default value フィールドに IssueSpecificEntityValue と入力します

Info

Source フィールドは、ITSI エピソード内でアラートの発生元を識別するために使用されます

Update Source

10. Severity ID マッピングを Mapping rule に更新し、タイプとして Value case mapping を使用します

11. IssueStatus is equal to (not case sensitive)resolved に設定し、then useNormal にします

12. if ステートメントの残りの部分に以下の値をマッピングします:

vendor_severity is equal to (not case sensitive)P1 に設定し、then useCritical にします

vendor_severity is equal to (not case sensitive)P2 に設定し、then useHigh にします

vendor_severity is equal to (not case sensitive)P3 に設定し、then useMedium にします

vendor_severity is equal to (not case sensitive)P4 に設定し、then useLow にします

最後に、else use this default valueInfo に設定します

Info

Catalyst Center の重要度の値を ITSI の重要度スケールにマッピングして、エピソードに正しい優先度が表示されるようにします

Severity ID Mapping

13. Title フィールドを IssueSpecificSummary に変更します

14. subcomponentitsi_site に更新します

15. Run every1 minute に変更します

16. Service Association セクションに NY HQStore-SJC10Store-SJC12 を追加します

17. Entity Lookup FieldSiteNameHierarchy を使用します

18. Enable throttling トグルをオンにします

19. Suppress period5 minutes ごとに設定します

20. 右上の Preview Results をクリックします(注: プレビューで結果が表示されない場合があります。イベントは Create a custom NEAP セクションで確認します)

21. Save and Activate をクリックします

Info

subcomponent フィールドは、各アラートを ITSI 内の対応する Catalyst Center サイトサービスにリンクするものです

Subcomponent Configuration

よくできました!

Catalyst Center のアラートが、正規化されたNotable Eventとしてサイトサービスにリンクされた状態で ITSI に取り込まれるようになりました。

次のセクションでは、ITSI が両方のベンダーからのイベントを相関できるように、SolarWinds を2番目のアラートソースとして追加します。