6.5 确认
确认是操作人员确认已查看某个事件的操作。它作为事件已被看到并处理的明确记录,并停止该事件的自动重新通知周期。
6.5.1 确认的工作方式
特定事件是否需要确认,由事件模板中的允许确认设置决定。若启用此设置,由该模板创建的事件在首次生成时状态为未确认。
未确认的事件:
- 在事件列表中显示确认指示图标(A 列)
- 按元素通知规则中定义的时间表继续触发重新通知
- 在事件视图中启用未确认过滤切换时显示
确认后:
- 事件状态变更为已确认
- 事件列表中的确认指示图标更新
- 立即停止重新通知——无论事件是否仍处于活动状态,不再为此事件发送任何告警
6.5.2 如何确认事件
确认事件有两种方式:
从事件列表:
点击事件行上的确认操作图标。状态立即更新。
从事件详情页:
点击事件名称打开事件,然后在通用标签页的工具栏中点击确认图标。
6.5.3 查找未确认事件
主导航栏中的事件项目会显示系统中未确认事件总数的徽章。无论当前登录用户在 IDMP 的哪个页面,都能一目了然地看到仍需关注的未完成事件数量。
全局事件视图和元素级事件标签页均在工具栏中提供未确认切换开关。启用此切换可将列表过滤为仅显示仍需关注的事件。这是操作人员在班次开始时快速识别待处理事项的最便捷方式。
未确认事件也可通过已保存事件过滤器找到——创建并保存一个启用了未确认切换的过滤器,然后将其固定为收藏,即可一键访问。
6.5.4 确认与通知的交互
确认与通知紧密相关。需要了解的关键行为:
- 若事件模板中允许确认已禁用,事件无需确认,重新通知不会发生——系统每个事件最多发送一条初始通知。
- 若允许确认已启用,重新通知将持续进行,直到事件被确认或关闭,或达到最大重发次数。
- 确认事件不会关闭事件。已确认的事件可能仍处于活动状态(没有结束时间)。关闭事件是一个独立的操作,由分析在其结束条件满足时执行。
- 若事件在被确认前已关闭,重新通知也会停止——系统不会为已关闭的事件发送通知。
