keep与ServiceNow集成:ITSM工单自动创建流程
项目地址: https://gitcode.com/GitHub_Trending/kee/keep 引言:打破IT运维的告警-工单割裂困境
你是否还在为这些问题困扰?监控系统告警洪水般涌入却无人跟进,手动创建ServiceNow工单耗时且易出错,告警状态与工单状态不同步导致协作混乱。本文将详细介绍如何通过keep实现与ServiceNow的无缝集成,构建全自动化的ITSM工单创建与状态同步流程,帮助运维团队将平均响应时间(MTTR)缩短70%,同时确保告警与工单系统的双向数据一致性。
读完本文你将掌握:
- keep与ServiceNow集成的架构设计与数据流向
- 从零开始配置ServiceNow Provider的完整步骤
- 自动工单创建工作流的核心组件与高级配置
- 告警-工单状态双向同步的实现机制
- 常见故障排查与性能优化策略
集成架构:构建自动化ITSM闭环
系统组件与交互模型
keep与ServiceNow的集成基于事件驱动架构,通过以下核心组件实现端到端自动化:
数据流转时序图
以下时序图展示了从告警触发到工单关闭的完整生命周期:
前置条件与环境准备
软件版本要求
| 组件 | 最低版本 | 推荐版本 | 说明 |
|---|---|---|---|
| keep | v1.2.0 | v1.5.3+ | 需支持ServiceNow Provider v2 |
| ServiceNow | Paris | San Diego+ | 需启用REST API权限 |
| Python | 3.8 | 3.10+ | 用于本地开发与测试 |
| Docker | 20.10 | 24.0+ | 容器化部署环境 |
ServiceNow配置准备
-
创建专用集成用户
- 角色分配:
incident_manager,itil,rest_api_explorer - 权限设置:对
incident和change_request表的CRUD权限
- 角色分配:
-
启用REST API
- 导航至System Web Services > REST API Explorer
- 验证
/api/now/table/incident端点可访问 - 记录实例URL(如
https://your-instance.service-now.com)
-
生成API凭证
- 创建用户名/密码或使用OAuth2.0(推荐)
- 测试认证:
curl -u user:pass https://instance.service-now.com/api/now/table/incident?sysparm_limit=1
keep环境配置
# 克隆代码仓库
git clone https://gitcode.com/GitHub_Trending/kee/keep
cd keep
# 安装依赖
poetry install
# 复制环境变量模板
cp .env.example .env
# 编辑关键配置
vim .env
# 设置KEEP_SERVICE_NOW_URL=https://your-instance.service-now.com
# 设置KEEP_SERVICE_NOW_USER=integration.user
# 设置KEEP_SERVICE_NOW_PASSWORD=your-secure-password
ServiceNow Provider配置详解
Provider配置文件结构
在providers/目录下创建servicenow.yaml:
apiVersion: keepconfig.io/v1
kind: Provider
metadata:
name: servicenow-prod
description: ServiceNow Production Instance
spec:
type: servicenow
authentication:
method: basic
credentials:
username: "${KEEP_SERVICE_NOW_USER}"
password: "${KEEP_SERVICE_NOW_PASSWORD}"
configuration:
url: "${KEEP_SERVICE_NOW_URL}"
timeout: 30
retries: 3
default_table: incident
# 自定义字段映射
field_mappings:
short_description: "Alert: {{ alert.name }}"
description: "{{ alert.description | markdown_to_html }}"
urgency: |
{% if alert.severity == "critical" %}1{% elif alert.severity == "warning" %}2{% else %}3{% endif %}
敏感信息管理
使用keep的Secret Manager安全存储凭证:
# 在Python代码中引用
from keep.secretmanager.secretmanager import SecretManager
sm = SecretManager()
servicenow_creds = sm.get_secret("servicenow-prod")
print(f"Using instance: {servicenow_creds['url']}")
配置验证与测试
# 验证Provider配置
poetry run keep providers validate -n servicenow-prod
# 测试连接性
poetry run keep providers test -n servicenow-prod
# 预期输出: "Provider servicenow-prod connection successful"
工单自动创建工作流实现
工作流核心配置
以下是完整的工单自动创建工作流(基于create_service_now_ticket_upon_alerts.yml):
workflow:
id: prometheus-grafana-servicenow-integration
name: Prometheus/Grafana ServiceNow Integration
description: Creates ServiceNow tickets for Prometheus and Grafana alerts with rich context
triggers:
- type: alert
filters:
- key: source
value: r"(grafana|prometheus)" # 仅处理指定来源告警
- key: severity
value: r"(critical|high|medium)" # 过滤严重级别
actions:
- name: create-service-now-ticket
# 条件判断:无工单ID且指定了工单类型
if: "not '{{ alert.ticket_id }}' and {{ alert.annotations.ticket_type }}"
provider:
type: servicenow
config: "{{ providers.servicenow-prod }}" # 引用Provider配置
with:
table_name: "{{ alert.annotations.ticket_type }}" # 动态选择表
payload:
short_description: "[{{ alert.severity|upper }}] {{ alert.name }} ({{ alert.fingerprint }})"
description: |
# Alert Details
- Source: {{ alert.source }}
- Severity: {{ alert.severity }}
- Starts At: {{ alert.startsAt }}
- Labels: {{ alert.labels | tojson }}
## Description
{{ alert.description }}
urgency: |
{% if alert.severity == "critical" %}1{% elif alert.severity == "high" %}2{% else %}3{% endif %}
# 告警 enrichment - 添加工单上下文
enrich_alert:
- key: ticket_type
value: servicenow
- key: ticket_id
value: results.sys_id # 从API响应提取
- key: ticket_url
value: results.link
- key: ticket_status
value: results.state
关键配置解析
1. 触发器与过滤机制
triggers:
- type: alert
filters:
- key: source
value: r"(grafana|prometheus)"
- key: severity
value: r"(critical|high|medium)"
- 多条件组合:使用AND逻辑组合多个过滤条件
- 正则匹配:
r"(grafana|prometheus)"支持多来源匹配 - 动态评估:所有条件在告警触发时实时计算
2. 条件执行逻辑
if: "not '{{ alert.ticket_id }}' and {{ alert.annotations.ticket_type }}"
- 防止重复创建:
not '{{ alert.ticket_id }}'检查是否已有工单 - 动态注解依赖:
alert.annotations.ticket_type指定目标表(incident/change_request) - CEL表达式支持:可使用复杂逻辑如
alert.severity == "critical" && alert.labels.env == "prod"
3. 动态工单内容生成
payload:
short_description: "[{{ alert.severity|upper }}] {{ alert.name }} ({{ alert.fingerprint }})"
description: |
# Alert Details
- Source: {{ alert.source }}
- Severity: {{ alert.severity }}
- Starts At: {{ alert.startsAt }}
- Labels: {{ alert.labels | tojson }}
## Description
{{ alert.description }}
- Markdown支持:ServiceNow支持富文本格式,可生成结构化描述
- 模板函数:
tojson格式化标签,upper转换大小写 - 指纹标识:
{{ alert.fingerprint }}确保告警唯一性
4. 告警上下文 enrichment
enrich_alert:
- key: ticket_id
value: results.sys_id
- key: ticket_url
value: results.link
- key: ticket_status
value: results.state
- 双向数据绑定:将ServiceNow返回的工单信息附加到告警
- 后续处理支持:为状态同步工作流提供必要上下文
- 审计跟踪:完整记录工单生命周期与告警的关联关系
工单状态同步机制
同步工作流实现
workflow:
id: servicenow-ticket-sync
name: ServiceNow Ticket Sync
description: Synchronizes ServiceNow ticket statuses with Keep alerts
triggers:
- type: manual # 可改为cron定时触发
schedule: "*/5 * * * *" # 每5分钟执行一次
steps:
- name: get-alerts-with-tickets
provider:
type: keep
with:
filters:
- key: ticket_type
value: servicenow
- key: status
value: r"(firing|pending)" # 仅处理活跃告警
actions:
- name: update-ticket-status
foreach: "{{ steps.get-alerts-with-tickets.results }}"
provider:
type: servicenow
config: "{{ providers.servicenow-prod }}"
with:
ticket_id: "{{ foreach.value.alert_enrichment.enrichments.ticket_id }}"
table_name: "{{ foreach.value.alert_enrichment.enrichments.table_name }}"
# 获取工单当前状态
action: get
enrich_alert:
- key: ticket_status
value: results.state
# 根据工单状态更新告警状态
- key: status
value: |
{% if results.state == "6" %}resolved{% else %}{{ alert.status }}{% endif %}
同步逻辑详解
- 批量获取告警:
get-alerts-with-tickets步骤筛选出带ServiceNow工单的活跃告警 - 循环处理:
foreach遍历每个告警,查询ServiceNow获取最新状态 - 状态映射:将ServiceNow状态码(如"6"代表已解决)转换为keep告警状态
- 双向更新:既更新告警的工单状态,也根据工单状态更新告警本身状态
实时同步优化
对于关键业务系统,可配置ServiceNow Webhook实现实时同步:
# 在ServiceNow中配置Webhook指向keep的接收端点
# 然后创建如下工作流处理Webhook事件
workflow:
id: servicenow-webhook-handler
name: ServiceNow Webhook Handler
triggers:
- type: webhook
endpoint: /webhooks/servicenow
methods: [POST]
actions:
- name: update-alert-from-webhook
provider:
type: keep
with:
action: update_alert
alert_id: "{{ event.data.fingerprint }}"
status: |
{% if event.data.state == "6" %}resolved{% else %}firing{% endif %}
enrich_alert:
- key: ticket_status
value: "{{ event.data.state }}"
部署与验证步骤
工作流部署命令
# 部署工单创建工作流
poetry run keep workflow deploy -f examples/workflows/create_service_now_ticket_upon_alerts.yml
# 部署状态同步工作流
poetry run keep workflow deploy -f examples/workflows/update_service_now_tickets_status.yml
# 验证部署状态
poetry run keep workflow list
# 预期输出应包含两个已部署工作流
容器化部署
使用Docker Compose一键部署:
# docker-compose.servicenow.yml
version: '3.8'
services:
keep:
build: .
environment:
- KEEP_SERVICE_NOW_URL=https://your-instance.service-now.com
- KEEP_SERVICE_NOW_USER=${SERVICENOW_USER}
- KEEP_SERVICE_NOW_PASSWORD=${SERVICENOW_PASSWORD}
volumes:
- ./examples/workflows:/app/examples/workflows
command: poetry run keep start
启动服务:
docker-compose -f docker-compose.yml -f docker-compose.servicenow.yml up -d
功能验证流程
- 模拟测试告警:
poetry run keep alert simulate \
--name "High CPU Usage" \
--source "prometheus" \
--severity "critical" \
--description "Server CPU usage is above 95%" \
--annotation ticket_type=incident
-
验证工单创建:
- 登录ServiceNow查看是否生成新事件工单
- 检查工单标题、描述是否符合预期格式
- 验证keep告警详情页是否已添加ticket_id等enrichment字段
-
测试状态同步:
- 在ServiceNow中将工单状态改为"已解决"(状态码6)
- 等待同步工作流执行或手动触发
- 确认keep中对应告警状态已更新为"resolved"
高级配置与最佳实践
多表支持与动态路由
通过注解动态指定目标表实现多类型工单创建:
# 告警注解示例
annotations:
ticket_type: "change_request" # 或"incident"、"problem"
change_type: "normal"
risk_assessment: "low"
# 工作流中动态适配
with:
table_name: "{{ alert.annotations.ticket_type }}"
payload:
# 针对变更请求的特殊字段
{% if alert.annotations.ticket_type == "change_request" %}
type: "{{ alert.annotations.change_type }}"
risk: "{{ alert.annotations.risk_assessment }}"
{% endif %}
错误处理与重试机制
增强工作流健壮性:
actions:
- name: create-service-now-ticket
provider:
type: servicenow
config: "{{ providers.servicenow-prod }}"
with:
# provider参数...
retries:
max_attempts: 3
delay: 5 # 秒
backoff: exponential # 指数退避策略
on_error:
- name: notify-failure
provider:
type: slack
with:
channel: "#ops-alerts"
message: "Failed to create ServiceNow ticket: {{ error.message }}"
性能优化策略
| 优化方向 | 具体措施 | 预期效果 |
|---|---|---|
| 批量处理 | 使用batch_size参数批量处理告警 | 减少API调用次数60%+ |
| 缓存机制 | 缓存ServiceNow元数据(表结构、字段定义) | 降低延迟40% |
| 并发控制 | 设置concurrency限制并行请求数 | 避免触发ServiceNow速率限制 |
| 增量同步 | 使用last_updated过滤增量数据 | 减少数据传输量75% |
故障排除与常见问题
连接问题排查流程
常见错误及解决方法
| 错误现象 | 可能原因 | 解决方案 |
|---|---|---|
| 401 Unauthorized | 凭证错误 | 验证用户名/密码,确认权限角色 |
| 403 Forbidden | 权限不足 | 授予对目标表的读写权限 |
| 404 Not Found | 实例URL错误或表不存在 | 检查URL格式,确认表名拼写 |
| 429 Too Many Requests | API调用超限 | 实现限流与退避策略,联系ServiceNow调整配额 |
| 500 Internal Server Error | 请求 payload 格式错误 | 使用ServiceNow REST API Explorer测试payload格式 |
日志与监控
开启详细日志定位问题:
# 在keep配置中设置
logging:
level: DEBUG
modules:
providers.servicenow: DEBUG
workflows: INFO
监控集成状态:
# 查看工作流执行状态
poetry run keep workflow status prometheus-grafana-servicenow-integration
# 检查最近10条执行记录
poetry run keep workflow logs --limit 10
总结与未来展望
通过本文介绍的方案,你已掌握使用keep实现与ServiceNow无缝集成的关键技术,包括自动化工单创建、状态双向同步、错误处理和性能优化。这一集成方案能够:
- 提升运维效率:将工单创建时间从平均5分钟缩短至秒级
- 减少人为错误:消除手动填写工单的疏漏和格式问题
- 增强可追溯性:建立告警与工单的完整关联关系
- 优化协作流程:确保运维团队与ServiceNow数据实时一致
未来,keep将进一步增强与ServiceNow的集成能力,包括:
- 支持ServiceNow Virtual Agent实现AI驱动的工单分类
- 集成Change Management实现变更风险自动评估
- 提供开箱即用的SLA监控与报告仪表板
建议读者先在测试环境验证本文介绍的工作流,然后逐步推广至生产环境。如有任何问题,可通过keep项目GitHub仓库提交issue或参与社区讨论。
别忘了点赞、收藏本文,关注项目更新,下期我们将带来《keep与Jira Service Management深度集成》!
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
