> Mejora Continua de Procesos > Gestión de Incidentes > Gestión de Problemas de ServiceNow > Plantilla de Datos

Plantilla de Datos: Gestión de Incidentes

Gestión de Problemas de ServiceNow

Atributos de Gestión de Incidentes (20) Actividades de Gestión de Incidentes (13) Guías de Extracción (2)

Su Plantilla de Datos para la Gestión de Incidentes

Esta plantilla proporciona una guía completa para recopilar los datos necesarios para analizar y optimizar su proceso de gestión de incidentes. Describe los atributos de datos esenciales a recopilar, las actividades clave a rastrear y una orientación práctica sobre cómo extraer esta información de su sistema de origen. Utilice este recurso para construir un registro de eventos robusto para un análisis de procesos en profundidad y su mejora.

Atributos recomendados para recopilar
Actividades clave para el seguimiento
Guía de extracción para ServiceNow Problem Management

¿Nuevo en registros de eventos? Aprenda cómo crear un registro de eventos para Process Mining.

Descargar Plantilla

Atributos de Gestión de Incidentes

Estos son los campos de datos recomendados para incluir en su Registro de eventos para un análisis exhaustivo de su proceso de gestión de incidentes.

5 Requerido 4 Recomendado 11 Opcional

	Nombre	Descripción
	Hora del Evento EventTime	La marca de tiempo precisa que indica cuándo ocurrió la actividad.
Descripción Event Time, conocido a menudo como el timestamp, registra la fecha y hora exactas en que se completó una actividad o se produjo un cambio de estado. En ServiceNow, esto se captura típicamente en el campo sys_updated_on para cada cambio registrado en el registro de auditoría. Este atributo es esencial para secuenciar los eventos correctamente y para todo análisis basado en el tiempo. Se utiliza para calcular los tiempos de ciclo, los tiempos en cola y las duraciones entre actividades, que son fundamentales para identificar cuellos de botella, medir el rendimiento frente a los SLA y comprender la eficiencia del proceso. La precisión de estos timestamps es crítica para la validez de cualquier métrica basada en la duración. Por qué es importante Esta marca de tiempo ordena todas las actividades cronológicamente y permite el cálculo de todas las métricas basadas en duración, como los tiempos de ciclo y los cuellos de botella. Dónde obtener Tabla sys_audit de ServiceNow, campo sys_created_on o el campo sys_updated_on de la tabla incident para el estado más reciente. Ejemplos 2023-04-15T10:05:21Z2023-04-15T11:22:00Z2023-04-16T09:00:30Z
	ID de Incidente IncidentId	El identificador único para cada registro de incidente, sirviendo como clave primaria para el seguimiento de todo el ciclo de vida.
Descripción El Incident ID es el número de referencia único asignado a cada incidente reportado en ServiceNow. Actúa como el identificador de caso central que vincula todas las actividades, actualizaciones y comunicaciones relacionadas desde el momento en que se crea un incidente hasta que se cierra. En el análisis de Process Mining, este ID es fundamental. Permite a la herramienta reconstruir la secuencia de eventos para cada caso individual, formando la base para descubrir mapas de procesos, analizar variantes y calcular duraciones de principio a fin. Sin un Incident ID único para cada caso, sería imposible rastrear el recorrido de un incidente a través del proceso de resolución. Por qué es importante Este es el ID de Caso esencial que conecta todos los eventos en el ciclo de vida de un incidente, haciendo posible el análisis de procesos de principio a fin. Dónde obtener Tabla incident de ServiceNow, campo number. Ejemplos INC0010001INC0010045INC0010239
	Nombre de la Actividad ActivityName	El nombre del evento o tarea específica que ocurrió en un momento dado dentro del ciclo de vida del incidente.
Descripción El Nombre de la Actividad describe un paso o cambio de estado específico en el proceso de gestión de incidentes, como 'Incidente Creado', 'Asignado a Agente' o 'Incidente Cerrado'. Estos datos suelen derivarse de cambios en campos clave de incidentes, como State o Assignment Group, o de entradas de registro específicas. Este atributo es crucial para construir el mapa de procesos. Define los nodos en el grafo de procesos, permitiendo a los analistas visualizar el flujo de incidentes, identificar rutas comunes, descubrir cuellos de botella entre actividades y analizar variantes de proceso. La granularidad y precisión de estos nombres de actividad impactan directamente la calidad del análisis de procesos. Por qué es importante Define los pasos en el mapa de procesos, que es la base para todo análisis y visualización de Process Mining. Dónde obtener Este es un atributo derivado, generalmente generado por la lógica de transformación de datos basada en cambios en campos como state, assignment_group y assigned_to en las tablas sys_audit o incident. Ejemplos Incidente CreadoGrupo de asignación cambiadoResolución PropuestaIncidente Cerrado
	Source System SourceSystem	El sistema del cual se extrajeron estos datos.
Descripción Este atributo identifica el origen de los datos del incidente, que en este caso es ServiceNow Problem Management. Generalmente, es un valor estático que se añade durante el proceso de extracción y transformación de datos. En entornos donde los datos de múltiples sistemas podrían combinarse para su análisis, este campo es fundamental para la trazabilidad de los datos y su segregación. Ayuda a asegurar que las métricas y los procesos se analicen dentro del contexto correcto y permite a los analistas comparar procesos entre diferentes sistemas de origen. Por qué es importante Proporciona un contexto crucial sobre el origen de los datos, asegurando la trazabilidad de los datos y permitiendo una correcta interpretación en entornos multisistema. Dónde obtener Este es típicamente un valor estático agregado durante el proceso de extracción de datos. Ejemplos Gestión de Problemas de ServiceNowServiceNow
	Última actualización de datos LastDataUpdate	El timestamp que indica cuándo se actualizaron por última vez los datos de este registro desde el sistema de origen.
Descripción Este atributo registra la fecha y hora de la extracción o actualización más reciente de los datos de ServiceNow. Es un campo de metadatos que refleja la actualidad de los datos que se están analizando, no un evento en el proceso en sí. Esta información es vital para comprender la puntualidad del análisis. Informa a los usuarios sobre la actualidad de los datos, lo cual es importante para los dashboards operativos y para la toma de decisiones basada en eventos recientes. Ayuda a gestionar las expectativas sobre la relevancia y la actualidad de los datos. Por qué es importante Informa a los usuarios sobre la actualidad de los datos, lo cual es crítico para la relevancia y precisión del análisis. Dónde obtener Esta marca de tiempo es generada y establecida por la herramienta o el proceso de extracción de datos en el momento de la carga de datos. Ejemplos 2023-10-27T02:00:00Z2023-10-28T02:00:00Z
	Asignado a AssignedTo	El usuario o agente individual actualmente asignado para trabajar en el incidente.
Descripción Este atributo identifica al agente de soporte específico responsable del incidente en un momento dado. Esta información es fundamental para comprender la distribución de la carga de trabajo, el rendimiento del agente y las transferencias entre individuos. En el análisis, 'Assigned To' ayuda a visualizar la asignación de recursos y a identificar agentes sobrecargados. También se utiliza en el dashboard de Handoff y Reasignación para rastrear cuántas veces un incidente cambia de propietario individual, lo cual puede ser un indicador de ineficiencia o lagunas de conocimiento. Analizar los tiempos de resolución por agente también puede destacar a los de mejor rendimiento o a aquellos que necesitan capacitación adicional. Por qué es importante Permite el análisis de la carga de trabajo de los agentes, su rendimiento y las transferencias individuales, aspectos clave para comprender la eficiencia de los recursos. Dónde obtener Tabla incident de ServiceNow, campo assigned_to. Ejemplos Beth AnglinDavid LooHoward Johnson
	Estado de Incidencia IncidentState	El estado actual del incidente en su ciclo de vida.
Descripción El Incident State indica la etapa actual del incidente, como 'Nuevo', 'En Progreso', 'En Espera' o 'Resuelto'. Los cambios de estado son a menudo la fuente principal para generar actividades en el Registro de eventos para el Process Mining. Analizar el tiempo invertido en cada estado es una forma potente de identificar cuellos de botella. Por ejemplo, una larga duración en el estado 'En Espera' podría indicar dependencias de factores externos o usuarios. La secuencia de cambios de estado también forma la base del mapa de procesos, mostrando cómo los incidentes progresan hacia la resolución. Por qué es importante Realiza un seguimiento del progreso del incidente y es clave para analizar el tiempo dedicado en diferentes etapas e identificar cuellos de botella en el proceso. Dónde obtener Tabla incident de ServiceNow, campo incident_state o state. Ejemplos NuevoEn ProgresoEn espera de información del usuarioResueltoCerrado
	Grupo de asignación AssignmentGroup	El equipo o grupo de soporte responsable de gestionar el incidente.
Descripción El Assignment Group representa al equipo de agentes encargado de resolver el incidente. Los incidentes a menudo se dirigen entre diferentes grupos, como desde una mesa de ayuda de Nivel 1 a un equipo de red especializado de Nivel 2. Este atributo es esencial para analizar los traspasos entre equipos e identificar cuellos de botella sistémicos. El dashboard 'Handoff and Reassignment Rate' se basa en gran medida en estos datos para mostrar qué equipos están frecuentemente involucrados en transferencias. También permite realizar comparaciones de rendimiento entre diferentes grupos de soporte y ayuda a comprender dónde reside la experiencia en resolución dentro de la organización. Por qué es importante Esto rastrea qué equipo es responsable, permitiendo el análisis del rendimiento del equipo, la carga de trabajo y las transferencias entre grupos. Dónde obtener Tabla incident de ServiceNow, campo assignment_group. Ejemplos Service DeskSoporte de RedAdministradores de bases de datos
	Prioridad Priority	El nivel de prioridad del incidente, que dicta la urgencia de respuesta requerida.
Descripción La Prioridad es un campo clave en ServiceNow que determina el orden y la velocidad de gestión de un incidente. Generalmente se deriva del impacto y la urgencia del incidente, e influye directamente en los objetivos de SLA. Este atributo es fundamental para la segmentación y el análisis de rendimiento. El dashboard 'SLA Compliance Overview' utiliza la Prioridad para evaluar si los incidentes de alta prioridad se resuelven dentro de sus plazos objetivo. Analizar los tiempos de ciclo por prioridad ayuda a confirmar que los incidentes críticos se procesan más rápido que los menos importantes. Es una dimensión crítica para prácticamente todos los KPI y dashboard. Por qué es importante Permite segmentar incidentes por importancia para el negocio, lo cual es crítico para la monitorización del cumplimiento de SLA y la asignación de recursos. Dónde obtener Tabla incident de ServiceNow, campo priority. Ejemplos 1 - Crítico2 - Alta3 - Moderada4 - Baja
	¿Se incumplió el SLA? IsSlaBreached	Un indicador que señala si la resolución del incidente excedió su fecha límite de SLA.
Descripción Este es un atributo booleano calculado que marca los incidentes que han incumplido su Acuerdo de Nivel de Servicio (SLA). Se deriva al comparar la marca de tiempo de resolución real con la 'Fecha de Vencimiento de SLA'. Si el tiempo de resolución es posterior a la fecha de vencimiento, la bandera se establece en 'verdadero'. Este atributo es la base para el dashboard de 'Visión general del Cumplimiento del SLA' y los KPI relacionados. Simplifica el análisis al convertir una compleja comparación de tiempo en una dimensión simple de verdadero/falso, facilitando el filtrado de todos los incidentes incumplidos y el análisis de sus características comunes, como la categoría, el grupo de asignación o la prioridad. Por qué es importante Simplifica el análisis de cumplimiento de SLA, permitiendo un filtrado fácil y un análisis en profundidad de todos los incidentes que no cumplieron sus objetivos. Dónde obtener Calculado comparando el timestamp 'Resolved At' con el timestamp 'SlaDueDate'. (Resolved At > SlaDueDate). Ejemplos truefalse
	¿Se reabrió? IsReopened	Un indicador que señala si un incidente fue reabierto después de ser resuelto.
Descripción Esta bandera booleana se establece en 'verdadero' si el estado de un incidente se cambió de nuevo a uno activo (por ejemplo, 'En Progreso') después de haber alcanzado previamente un estado de 'Resuelto' o 'Cerrado'. Esto se identifica típicamente buscando una actividad 'Incidente Reabierto' en el registro de eventos. Los incidentes reabiertos son un fuerte indicador de resoluciones incompletas o ineficaces. Analizar estos casos ayuda a identificar cierres prematuros o problemas recurrentes que no se solucionaron correctamente la primera vez. Una alta tasa de reapertura puede impactar negativamente la satisfacción del usuario y la productividad del equipo, convirtiéndola en una métrica clave para el control de calidad. Por qué es importante Esta bandera identifica fallos en el proceso de resolución, destacando los incidentes que requirieron trabajo adicional después de ser considerados resueltos. Dónde obtener Calculado al verificar la secuencia de actividades para cada incidente para ver si un estado 'abierto' sigue a un estado 'resuelto'. Ejemplos truefalse
	Categoría Category	La clasificación de alto nivel del incidente, como Hardware, Software o Red.
Descripción La Category proporciona una clasificación amplia de la naturaleza de un incidente. Esto, a menudo en combinación con una subcategoría, ayuda a enrutar el incidente al equipo de soporte correcto y se utiliza para informes y análisis de tendencias. Para el Process Mining, este atributo es crucial para los dashboards 'Incident Categorization Accuracy' y 'Recurring Incident Volume'. Al analizar incidentes donde la Category se cambia a mitad de proceso, las organizaciones pueden identificar problemas con el triaje inicial. Filtrar el mapa de procesos por Category también puede revelar si ciertos tipos de incidentes siguen diferentes rutas de resolución o experimentan cuellos de botella únicos. Por qué es importante Permite el análisis de los tipos de incidentes, ayuda a medir la precisión de la categorización y es vital para el enrutamiento y el análisis de tendencias. Dónde obtener Tabla incident de ServiceNow, campo category. Ejemplos HardwareSoftwareRedBase de datos
	Código de Resolución ResolutionCode	Un código que indica cómo se resolvió finalmente el incidente.
Descripción El Resolution Code especifica la naturaleza de la solución aplicada; por ejemplo, si fue resuelto por un usuario, por un error conocido, o si se proporcionó una solución alternativa. Este campo suele ser rellenado por el agente al cerrar el incidente. Este atributo apoya directamente el dashboard 'Resolution Type Effectiveness'. Permite analizar cuántos incidentes se cierran con soluciones permanentes frente a soluciones alternativas temporales, lo cual es un indicador clave de la calidad del servicio y la estabilidad a largo plazo. Una alta tasa de soluciones alternativas podría sugerir que los problemas subyacentes no se están abordando adecuadamente. Por qué es importante Aclara el método de resolución, permitiendo el análisis de soluciones permanentes frente a soluciones provisionales, y apoyando el análisis de causa raíz. Dónde obtener Tabla incident de ServiceNow, campo close_code o un campo de código de resolución personalizado. Ejemplos Resuelto (Solución Temporal)Resuelto (Permanentemente)No Resuelto (Cancelado por el Usuario)Error Conocido
	Conteo de Reasignaciones ReassignmentCount	El número de veces que el incidente ha sido reasignado a un grupo o agente diferente.
Descripción Este campo rastrea el número total de veces que un incidente ha sido transferido entre diferentes grupos de asignación. Es una medida directa de la fricción del proceso y a menudo se utiliza como un indicador clave de rendimiento. Este atributo es el principal impulsor de para el dashboard de 'Tasa de Transferencia y Reasignación' y el KPI de 'Transferencias Promedio por Incidente'. Un alto número de reasignaciones a menudo indica problemas como un enrutamiento inicial incorrecto, falta de habilidades en un nivel de soporte o una propiedad del proceso poco clara. Reducir este número es un objetivo común para las iniciativas de mejora de procesos, ya que típicamente conduce a tiempos de resolución más rápidos. Por qué es importante Esto mide directamente las transferencias de proceso, un indicador clave de ineficiencia, enrutamiento incorrecto y oportunidades de mejora. Dónde obtener Tabla incident de ServiceNow, campo reassignment_count. Ejemplos 0135
	Elemento de Configuración ConfigurationItem	El componente de TI específico, servicio o activo afectado por el incidente.
Descripción El Configuration Item (CI) es el activo de la Configuration Management Database (CMDB) que se ve afectado por el incidente. Esto podría ser un servidor, una aplicación, un portátil o un dispositivo de red. Analizar incidentes por CI es extremadamente valioso para identificar activos o servicios poco fiables. Ayuda a determinar qué partes de la infraestructura de TI están generando la mayoría de los incidentes, lo que puede guiar la inversión en actualizaciones o reemplazos. En el Process Mining, filtrar por CI puede revelar si los incidentes relacionados con aplicaciones críticas se gestionan de manera diferente o más eficiente que otros. Por qué es importante Identifica el activo afectado, ayudando a localizar componentes problemáticos en la infraestructura de TI y enfocando los esfuerzos de mejora. Dónde obtener Tabla incident de ServiceNow, campo cmdb_ci. Ejemplos SAP ERP ProductionServidor de BD Oracle 05Servicio de Correo Electrónico
	Fecha de Vencimiento de SLA SlaDueDate	La fecha y hora objetivo para la resolución esperada del incidente según su SLA.
Descripción El SLA Due Date es una marca de tiempo calculada que representa la fecha límite de resolución para un incidente. Esta fecha se determina por el Service Level Agreement (SLA) asociado a las características del incidente, como su prioridad. Este atributo es esencial para el dashboard 'SLA Compliance Overview' y el KPI 'Critical Incident SLA Breach Rate'. Sirve como la referencia contra la cual se compara el tiempo real de resolución. Analizar los incidentes que están cerca de su SLA Due Date puede ayudar con la escalada proactiva y la priorización. Por qué es importante Define el objetivo de resolución, haciendo posible medir el cumplimiento del SLA e identificar incidentes en riesgo de incumplir sus objetivos. Dónde obtener Este valor se encuentra típicamente en la tabla task_sla, que está relacionada con la tabla incident. El campo planned_end_time es la marca de tiempo relevante. Ejemplos 2023-05-20T17:00:00Z2023-06-01T09:00:00Z
	ID del Problema ProblemId	El identificador del registro de Problema asociado si el incidente está vinculado a un problema mayor.
Descripción El Problem ID vincula un incidente con un registro correspondiente en el módulo de Gestión de Problemas. Esto se hace cuando un incidente se identifica como un síntoma de un problema subyacente más grande que afecta a múltiples usuarios o servicios. Esta vinculación es crítica para el dashboard 'Recurring Incident Volume' y el KPI 'Recurring Incident Rate'. Permite a los analistas agrupar incidentes que provienen de la misma causa raíz, medir el impacto completo de un problema y rastrear la efectividad de los esfuerzos de resolución de problemas. Un alto número de incidentes vinculados a problemas indica un entorno de soporte reactivo. Por qué es importante Vincula los incidentes a una causa raíz, lo cual es esencial para analizar problemas recurrentes y medir el impacto de la gestión de problemas. Dónde obtener Tabla incident de ServiceNow, campo problem_id. Ejemplos PRB0040001PRB0040015PRB0040102
	Severidad Severity	El nivel de impacto en el negocio causado por el incidente.
Descripción La Severidad define cuánto un incidente está impactando las operaciones comerciales. Junto con la urgencia, a menudo se utiliza para calcular automáticamente la prioridad del incidente. En el análisis, la severidad es una dimensión clave para el dashboard 'SLA Compliance Overview'. Ayuda a las organizaciones a comprender si están cumpliendo los niveles de servicio para los incidentes más disruptivos. Proporciona una visión de rendimiento centrada en el negocio, complementando la visión operativa proporcionada por la prioridad. Por qué es importante Mide el impacto de negocio de un incidente, proporcionando una dimensión crucial para priorizar esfuerzos y analizar el rendimiento en problemas críticos. Dónde obtener Tabla incident de ServiceNow, campo severity. Ejemplos 1 - Alto2 - Media3 - Baja
	Solicitante CallerId	El usuario que reportó inicialmente el incidente.
Descripción El Caller identifica al usuario final o cliente afectado por el incidente y que lo reportó. Esta información proporciona contexto sobre quién se ve afectado por las interrupciones del servicio. Aunque no siempre es central para el flujo del proceso en sí, el análisis de incidentes por Caller puede revelar si individuos o departamentos específicos se ven desproporcionadamente afectados por problemas. Esto puede indicar necesidades de capacitación o problemas ambientales localizados. También proporciona un enlace directo con el cliente para encuestas de satisfacción y comunicación. Por qué es importante Identifica al usuario afectado, permitiendo el análisis por departamento o individuo y proporcionando contexto para la comunicación con el usuario. Dónde obtener Tabla incident de ServiceNow, campo caller_id. Ejemplos Abel TuterCarolina PashDon Goodliffe
	Tiempo de Ciclo CycleTime	La duración total desde que se creó un incidente hasta que se cerró.
Descripción El Tiempo de Ciclo es una métrica calculada que representa la duración de principio a fin del proceso de gestión de incidentes para un único caso. Se calcula típicamente como la diferencia entre el timestamp 'Closed' y el timestamp 'Created'. Este es uno de los KPIs más fundamentales en Process Mining, que soporta directamente el dashboard 'Incident Resolution Cycle Time'. Analizar el Tiempo de Ciclo promedio, así como su distribución, ayuda a las organizaciones a medir la eficiencia general, establecer líneas base de rendimiento e identificar el impacto de los cambios en el proceso. Segmentar esta métrica por Atributos como prioridad o categoría revela qué tipos de incidentes tardan más en resolverse. Por qué es importante Este KPI clave mide la eficiencia de principio a fin del proceso y se utiliza para identificar casos de larga duración y para hacer seguimiento del rendimiento general. Dónde obtener Calculado restando el primer timestamp de evento del último timestamp de evento para cada ID de Incidente. Ejemplos 2592008640001209600

Requerido Recomendado Opcional

Actividades de Gestión de Incidentes

Estos son los pasos y hitos clave del proceso que debe capturar en su registro de eventos para un descubrimiento y optimización de procesos precisos.

6 Recomendado 7 Opcional

	Actividad	Descripción
	Grupo de asignación cambiado	Representa una transferencia en la que un incidente se transfiere de un grupo de soporte a otro. Esto se capta observando los cambios posteriores en el campo assignment_group después de su establecimiento inicial.
Por qué es importante Las reasignaciones frecuentes pueden indicar un enrutamiento inicial incorrecto, complejidad del proceso o lagunas de conocimiento. Esta actividad es crítica para medir el KPI de 'Traspasos Promedio por Incidente'. Dónde obtener Se infiere de la tabla 'sys_audit' al rastrear cualquier cambio en el campo 'assignment_group' después de la asignación inicial. Capturar Identifique cada cambio con timestamp en el campo 'assignment_group' en el registro de auditoría. Tipo de evento inferred
	Incidente Asignado a Grupo	Esta actividad ocurre cuando un incidente es asignado a un grupo de soporte específico para su gestión. Es un paso clave en el proceso de enrutamiento y se captura observando cambios en el campo Assignment Group.
Por qué es importante El seguimiento de las asignaciones es esencial para analizar las transferencias, los tiempos de cola para cada grupo y para identificar ineficiencias de enrutamiento o cuellos de botella. Dónde obtener Se infiere de la tabla 'sys_audit' al rastrear cuándo el campo 'assignment_group' en la tabla 'incident' se ha rellenado o cambiado. Capturar Utilice el timestamp del registro de auditoría para los cambios en el campo 'assignment_group'. Tipo de evento inferred
	Incidente Cerrado	Esta es la actividad final en el ciclo de vida, lo que significa que el incidente está completamente resuelto, confirmado y no se necesita ninguna acción adicional. El evento se captura explícitamente a través de la marca de tiempo de cierre.
Por qué es importante Como el evento final definitivo, esta actividad es esencial para calcular la duración total del ciclo de vida del incidente y analizar el tiempo que lleva el procesamiento posterior a la resolución. Dónde obtener El timestamp closed_at en la tabla incident sirve como el timestamp de evento explícito. Esto se establece típicamente cuando el campo state cambia a 'Closed'. Capturar Utilice el timestamp 'closed_at' del registro de la incidencia. Tipo de evento explicit
	Incidente Creado	Marca el inicio del ciclo de vida del incidente cuando un nuevo incidente se registra formalmente en ServiceNow. Este evento se captura explícitamente utilizando la marca de tiempo de creación del registro del incidente.
Por qué es importante Este es el evento de inicio principal para el proceso. Analizar el tiempo desde esta actividad hasta la resolución es fundamental para medir el tiempo de ciclo total y el cumplimiento de SLA. Dónde obtener El timestamp sys_created_on en la tabla incident sirve como el timestamp de evento explícito para esta actividad. Capturar Utilice el timestamp 'sys_created_on' del registro de la incidencia. Tipo de evento explicit
	Resolución Propuesta	Marca el punto en el que un agente de soporte ha implementado una solución y ha movido el incidente a un estado 'Resolved'. Este es un hito clave que precede al cierre final.
Por qué es importante Esta actividad marca el fin del trabajo activo y el inicio de la fase de confirmación. El tiempo entre este punto y 'Incidente Cerrado' puede revelar demoras en la confirmación o verificación por parte del usuario. Dónde obtener Se infiere de la tabla 'sys_audit' cuando el campo 'state' en la tabla 'incident' cambia a 'Resolved'. La marca de tiempo 'resolved_at' se suele rellenar en este momento. Capturar Utilice el timestamp cuando el campo 'state' cambie a 'Resolved' o el timestamp 'resolved_at'. Tipo de evento inferred
	Trabajo Iniciado	Indica que un agente ha comenzado a investigar o trabajar activamente en el incidente. Esto se infiere típicamente cuando el estado del incidente cambia de 'New' o 'Assigned' a un estado activo como 'In Progress'.
Por qué es importante Este hito marca el final del tiempo inicial de espera en cola y el comienzo de los esfuerzos activos de resolución. Medir el tiempo hasta que comienza el trabajo es clave para el análisis de cuellos de botella. Dónde obtener Se infiere de la tabla 'sys_audit' al identificar cuándo el campo 'state' en la tabla 'incident' cambia a un valor que representa trabajo activo, como 'In Progress'. Capturar Identifique el timestamp cuando el campo 'state' cambia a 'In Progress' o un valor similar. Tipo de evento inferred
	Comentario de Soporte Añadido	Un agente de soporte añade una nota de trabajo o un comentario visible para el usuario. Este es un evento explícito registrado en el flujo de actividad del incidente.
Por qué es importante Registra los esfuerzos de comunicación e investigación del equipo de soporte. Analizar la frecuencia y el momento de estos comentarios ofrece una visión clara del proceso de investigación. Dónde obtener Capturado de la tabla 'sys_journal_field', que registra entradas para los campos 'work_notes' y 'comments' en la tabla 'incident'. Capturar Utilice el timestamp de creación de las entradas del diario donde el elemento sea 'work_notes' o 'comments'. Tipo de evento explicit
	Esperando Confirmación del Usuario	El incidente está en un estado pendiente, esperando que el usuario confirme que la resolución propuesta fue exitosa. Esto se infiere normalmente de un estado específico como 'Awaiting User Info' después de haber sido resuelto.
Por qué es importante Este estado puede ser un cuello de botella significativo si los usuarios tardan en responder. Medir el tiempo invertido en esta actividad ayuda a identificar lagunas en la comunicación y oportunidades para automatizar el cierre. Dónde obtener Se infiere de la tabla 'sys_audit' al identificar un cambio a un estado pendiente específico después de la resolución. El nombre del estado puede ser personalizado, como 'Awaiting Caller'. Capturar Identifique el timestamp cuando 'state' cambia a un valor que indica una espera de entrada del usuario. Tipo de evento inferred
	Incidencia Escalada	Ocurre cuando la prioridad o gravedad de un incidente aumenta, a menudo requiriendo una respuesta más rápida o recursos diferentes. Esto se infiere al detectar un cambio ascendente en el valor del campo 'priority'.
Por qué es importante Las escaladas a menudo indican que un incidente es más grave de lo que se pensó inicialmente o que se acerca a una infracción de SLA. Analizar estos eventos ayuda a comprender las excepciones del proceso. Dónde obtener Se infiere de la tabla 'sys_audit' al identificar un cambio en el campo 'priority' a un valor de mayor urgencia. Capturar Detectar cuándo el valor del campo 'priority' aumenta (por ejemplo, de '3 - Moderado' a '2 - Alto'). Tipo de evento inferred
	Incidente Asignado a Agente	Representa el punto en el que un agente específico dentro de un grupo de soporte asume la propiedad del incidente. Esto se capta monitoreando los cambios en el campo assigned_to.
Por qué es importante Esto proporciona una vista granular de la carga de trabajo del agente y la resolución en el primer contacto. Ayuda a determinar cuánto tiempo esperan los incidentes a que un individuo comience a trabajar después de ser asignado a un grupo. Dónde obtener Se infiere de la tabla 'sys_audit' al rastrear cuándo el campo 'assigned_to' en la tabla 'incident' se ha rellenado o cambiado. Capturar Utilice el timestamp del registro de auditoría para los cambios en el campo 'assigned_to'. Tipo de evento inferred
	Incidente Categorizado	Representa la clasificación inicial del incidente, donde se configuran campos como Categoría, Subcategoría y Prioridad. Este evento se infiere típicamente del registro de auditoría cuando estos campos se completan por primera vez o se actualizan poco después de la creación.
Por qué es importante Una categorización precisa es crucial para un enrutamiento y priorización correctos. El seguimiento de esta actividad ayuda a analizar las tasas de recategorización y su impacto en el tiempo de resolución. Dónde obtener Se infiere de la tabla 'sys_audit' al identificar el primer cambio en campos como 'category', 'subcategory' o 'priority' para un incidente dado. Capturar Identifique el timestamp de la primera actualización a los campos de clasificación en el registro de auditoría. Tipo de evento inferred
	Incidente Reabierto	Ocurre cuando un usuario informa que el problema persiste después de haber sido marcado como resuelto. Esto se infiere cuando el estado del incidente cambia de 'Resolved' de nuevo a un estado activo como 'In Progress'.
Por qué es importante Los incidentes reabiertos indican resoluciones fallidas y representan retrabajo. El seguimiento de esta actividad es vital para medir la calidad de la resolución y las tasas de resolución en el primer intento. Dónde obtener Se infiere de la tabla 'sys_audit' al detectar una transición del campo 'state' de 'Resolved' de vuelta a un estado activo como 'In Progress' o 'Assigned'. Capturar Identifique el timestamp cuando 'state' pasa de 'Resolved' a un valor activo. Tipo de evento inferred
	Incidente Vinculado a Problema	Esta actividad ocurre cuando un incidente se asocia formalmente con un registro de problema, indicando que forma parte de un problema subyacente más grande. Esto se infiere cuando el campo 'problem_id' en el registro del incidente se rellena.
Por qué es importante Vincular a un problema es un paso crítico para pasar de la solución reactiva de incidentes al análisis proactivo de la causa raíz. Esto apoya el dashboard de 'Volumen de Incidentes Recurrentes'. Dónde obtener Se infiere al detectar cuándo el campo de referencia 'problem_id' en la tabla 'incident' se ha rellenado con un valor. Capturar Identifique el timestamp del registro de auditoría cuando se rellena el campo 'problem_id'. Tipo de evento inferred

Recomendado Opcional

Guías de Extracción

Cómo obtener sus datos de ServiceNow Problem Management

Pasos

Configurar el acceso a ServiceNow: Obtenga credenciales para una cuenta de servicio en ServiceNow. Esta cuenta debe tener permisos de lectura (ACLs) para la tabla incident, la tabla sys_audit y todos los campos requeridos, incluyendo sys_id, number, sys_created_on, resolved_at, closed_at, assignment_group, assigned_to, priority, incident_state, state, category, subcategory, problem_id, comments y work_notes.
Configurar el entorno Node.js: Asegúrese de tener Node.js instalado en la máquina que ejecutará el script de extracción. Instale la biblioteca axios para realizar solicitudes HTTP ejecutando npm install axios en su terminal.
Preparar el script de extracción: Copie el código JavaScript proporcionado en un archivo, por ejemplo, extract_incidents.js. Rellene los valores de marcador de posición para la URL de su instancia de ServiceNow, nombre de usuario y contraseña en la parte superior del script.
Definir parámetros de extracción: Ajuste las variables startDate y endDate en el script para definir la ventana de tiempo para los incidentes que desea extraer. Para las ejecuciones iniciales, se recomienda usar un rango de fechas pequeño, como una semana, para validar los resultados.
Ejecutar el Script: Ejecute el script desde su terminal usando el comando node extract_incidents.js. El script comenzará a buscar datos de incidentes y sus registros de auditoría correspondientes de la API de ServiceNow.
Monitorear el progreso del script: El script registrará el progreso en la consola, mostrando cuántos incidentes se han procesado. Tenga en cuenta que para grandes conjuntos de datos, este proceso puede tomar una cantidad significativa de tiempo debido al número de llamadas a la API requeridas.
Procesar respuestas de la API: El script itera programáticamente a través de cada incidente. Para cada incidente, consulta la tabla sys_audit para recuperar todo su historial de cambios. Luego procesa este historial para identificar y asignar una marca de tiempo a las 13 actividades requeridas.
Manejar actividades inferidas: El script contiene lógica para inferir actividades a partir de cambios de campo. Por ejemplo, 'Incident Escalated' se crea cuando el nuevo valor del campo priority es más bajo (indicando mayor prioridad) que su valor anterior. 'Work Started' se identifica por el primer cambio de estado a 'In Progress'.
Estructurar el Registro de eventos: A medida que se identifican las actividades, se formatean en registros de eventos, con cada registro conteniendo las columnas requeridas: IncidentId, ActivityName, EventTime, y otras.
Guardar la salida: Una vez que el script se complete, guardará el Registro de eventos generado como un archivo JSON llamado servicenow_incident_event_log.json en el mismo directorio. Este archivo contiene un array de todos los eventos extraídos.
Convertir a CSV: Para subir a ProcessMind, es posible que necesite convertir la salida JSON final a un archivo CSV. Utilice una herramienta de datos estándar o un script simple para transformar el array JSON a un formato CSV en tabla, asegurando que los encabezados de columna coincidan con los Atributos requeridos.

Configuración

Punto de enlace de la API: El script se dirige a dos endpoints principales de la API de Tablas de ServiceNow:
- https://[Your ServiceNow Instance].service-now.com/api/now/table/incident
- https://[Your ServiceNow Instance].service-now.com/api/now/table/sys_audit
Autenticación: El script proporcionado utiliza Autenticación Básica (nombre de usuario y contraseña). Asegúrese de que las credenciales de la cuenta de servicio sean correctas y que la cuenta esté activa.
Filtro por Rango de Fechas: La consulta se filtra por la fecha de creación del incidente (sys_created_on). Esto se configura a través de las variables startDate y endDate en el script. Se recomienda extraer datos de 3 a 6 meses para un análisis significativo, pero comience con un período más corto para realizar pruebas.
Parámetros Clave de Consulta:
- sysparm_query: Se utiliza para filtrar registros. El script construye una cadena de consulta codificada para filtrar incidentes por fecha de creación.
- sysparm_fields: Especifica qué columnas recuperar, reduciendo el tamaño de la carga útil de la API y mejorando el rendimiento.
- sysparm_limit: Gestiona la paginación definiendo el número de registros a devolver por solicitud. El script utiliza un límite de 1000, lo cual es una práctica común.
- sysparm_offset: Se utiliza junto con sysparm_limit para obtener páginas de datos subsiguientes.
Consideraciones de Rendimiento: Consultar la tabla sys_audit para cada incidente es intensivo en recursos. Para instancias muy grandes de ServiceNow, considere ejecutar la extracción durante horas de menor actividad. El script procesa los incidentes secuencialmente para evitar sobrecargar la API, pero esto puede extender el tiempo total de ejecución.
Requisitos Previos: Se requiere un entorno Node.js para ejecutar el script. El usuario o la cuenta de servicio que ejecuta la extracción debe tener los permisos de lectura necesarios (ACLs) en las tablas incident y sys_audit.

a Consulta de ejemplo javascript

const axios = require('axios');
const fs = require('fs');

// --- Configuration ---
const INSTANCE_URL = 'https://[your-instance].service-now.com';
const USERNAME = '[your-username]';
const PASSWORD = '[your-password]';

// Define the date range for the extraction
const startDate = '2023-01-01 00:00:00';
const endDate = '2023-03-31 23:59:59';

const BATCH_SIZE = 1000; // Records per API call for incidents
const SOURCE_SYSTEM = 'ServiceNow';

// --- Main Extraction Logic ---
async function extractIncidentData() {
    const auth = { username: USERNAME, password: PASSWORD };
    const allEvents = [];
    let offset = 0;
    let hasMoreRecords = true;

    console.log(Starting extraction for incidents created between ${startDate} and ${endDate}...);

    while (hasMoreRecords) {
        try {
            // 1. Fetch a batch of incidents
            const incidentQuery = sys_created_on>=${startDate}^sys_created_on<=${endDate};
            const incidentFields = [
                'sys_id', 'number', 'sys_created_on', 'resolved_at', 'closed_at',
                'assigned_to', 'assignment_group', 'priority', 'incident_state',
                'state', 'sys_updated_on'
            ].join(',');

            console.log(Fetching incidents, offset: ${offset}...);
            const incidentResponse = await axios.get(${INSTANCE_URL}/api/now/table/incident, {
                auth,
                params: {
                    sysparm_query: incidentQuery,
                    sysparm_fields: incidentFields,
                    sysparm_limit: BATCH_SIZE,
                    sysparm_offset: offset
                }
            });

            const incidents = incidentResponse.data.result;
            if (incidents.length === 0) {
                hasMoreRecords = false;
                continue;
            }

            // 2. For each incident, fetch its audit trail and generate events
            for (const incident of incidents) {
                const lastDataUpdate = new Date().toISOString();

                // --- Explicit Events from Incident Table ---
                allEvents.push(createEvent(incident, 'Incident Created', incident.sys_created_on, lastDataUpdate));
                if (incident.resolved_at) {
                    allEvents.push(createEvent(incident, 'Resolution Proposed', incident.resolved_at, lastDataUpdate));
                }
                if (incident.closed_at) {
                    allEvents.push(createEvent(incident, 'Incident Closed', incident.closed_at, lastDataUpdate));
                }

                // --- Inferred Events from Audit Table ---
                const auditQuery = documentkey=${incident.sys_id};
                const auditFields = 'sys_created_on,fieldname,oldvalue,newvalue';
                const auditResponse = await axios.get(${INSTANCE_URL}/api/now/table/sys_audit, {
                    auth,
                    params: { sysparm_query: auditQuery, sysparm_fields: auditFields, sysparm_display_value: 'true' }
                });

                const auditRecords = auditResponse.data.result.sort((a, b) => new Date(a.sys_created_on) - new Date(b.sys_created_on));
                
                let isCategorized = false, isGroupAssigned = false, isAgentAssigned = false, isWorkStarted = false, isProblemLinked = false, isReopened = false;
                let lastPriority = null;
                
                for (const audit of auditRecords) {
                    const eventTime = audit.sys_created_on;
                    
                    if (!isCategorized && (audit.fieldname === 'category' || audit.fieldname === 'subcategory') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Categorized', eventTime, lastDataUpdate));
                        isCategorized = true;
                    }
                    if (!isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Group', eventTime, lastDataUpdate));
                        isGroupAssigned = true;
                    } else if (isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Assignment Group Changed', eventTime, lastDataUpdate));
                    }
                    if (!isAgentAssigned && audit.fieldname === 'assigned_to' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Agent', eventTime, lastDataUpdate));
                        isAgentAssigned = true;
                    }
                    if (!isWorkStarted && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Work Started', eventTime, lastDataUpdate));
                        isWorkStarted = true;
                    }
                    if ((audit.fieldname === 'comments' || audit.fieldname === 'work_notes') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Support Comment Added', eventTime, lastDataUpdate));
                    }
                    if (audit.fieldname === 'priority') {
                         const oldPriorityVal = parseInt(audit.oldvalue.match(/\d+/), 10);
                         const newPriorityVal = parseInt(audit.newvalue.match(/\d+/), 10);
                         if (lastPriority !== null && newPriorityVal < lastPriority) {
                             allEvents.push(createEvent(incident, 'Incident Escalated', eventTime, lastDataUpdate));
                         }
                         lastPriority = newPriorityVal;
                    }
                    if (!isProblemLinked && audit.fieldname === 'problem_id' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Linked To Problem', eventTime, lastDataUpdate));
                        isProblemLinked = true;
                    }
                    if ((audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('awaiting')) {
                         allEvents.push(createEvent(incident, 'Awaiting User Confirmation', eventTime, lastDataUpdate));
                    }
                    if (!isReopened && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && (audit.oldvalue.toLowerCase().includes('resolved') || audit.oldvalue.toLowerCase().includes('closed')) && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Incident Reopened', eventTime, lastDataUpdate));
                        isReopened = true; 
                    }
                }
            }

            offset += BATCH_SIZE;
            console.log(Processed ${incidents.length} incidents. Total events so far: ${allEvents.length});

        } catch (error) {
            console.error('An error occurred:', error.response ? error.response.data : error.message);
            hasMoreRecords = false; // Stop on error
        }
    }

    // 3. Save results to a file
    fs.writeFileSync('servicenow_incident_event_log.json', JSON.stringify(allEvents, null, 2));
    console.log(Extraction complete. ${allEvents.length} events saved to servicenow_incident_event_log.json);
}

// --- Helper Function to create a standard event object ---
function createEvent(incident, activityName, eventTime, lastDataUpdate) {
    return {
        IncidentId: incident.number,
        ActivityName: activityName,
        EventTime: eventTime,
        SourceSystem: SOURCE_SYSTEM,
        LastDataUpdate: lastDataUpdate,
        AssignedTo: incident.assigned_to.display_value || '',
        AssignmentGroup: incident.assignment_group.display_value || '',
        Priority: incident.priority.display_value || '',
        IncidentState: incident.incident_state.display_value || incident.state.display_value || ''
    };
}

// --- Run the script ---
extractIncidentData();

Pasos

Requisitos previos: Asegúrese de tener Python 3.6+ instalado en su sistema. Instale las bibliotecas necesarias usando pip: pip install requests pandas.
Configuración de ServiceNow: Cree una cuenta de servicio dedicada en ServiceNow para esta extracción. Otorgue a este usuario los roles itil y rest_api_explorer para asegurar el acceso de lectura a las tablas requeridas (incident, sys_audit, sys_journal_field).
Configurar el Script: Abra el script de Python proporcionado. Localice la sección de configuración en la parte superior y reemplace los valores de marcador de posición para SNOW_INSTANCE, SNOW_USER y SNOW_PASSWORD con la URL de su instancia de ServiceNow y las credenciales de la cuenta de servicio. Ajuste las fechas de START_DATE y END_DATE para definir la ventana de extracción deseada.
Ejecutar el Script: Ejecute el script desde su línea de comandos usando python your_script_name.py. El script comenzará a autenticarse con ServiceNow y a realizar llamadas a la API.
Recuperación de datos: El script primero obtiene una lista de todos los incidentes creados dentro del rango de fechas especificado de la tabla incident. Luego usa esta lista de IDs de incidente para recuperar todo el historial de auditoría relacionado de sys_audit y todos los comentarios de sys_journal_field.
Generación de Registro de eventos: El script procesa los datos en bruto en memoria. Itera a través de las actividades predefinidas, generando un conjunto distinto de filas para cada una. Por ejemplo, identifica el evento 'Incident Created' del campo sys_created_on y el evento 'Incident Closed' del campo closed_at. Para otros eventos, analiza el registro de auditoría para identificar transiciones de estado, cambios de campo y escaladas.
Mapeo de Atributos: Para cada fila de evento generada, el script realiza una búsqueda para enriquecerla con Atributos contextuales del registro principal del incidente, como AssignmentGroup, AssignedTo, Priority e IncidentState en el momento del evento.
Consolidación de datos: Todos los DataFrames de eventos individuales (uno para cada tipo de actividad) se combinan en un único y completo DataFrame del Registro de eventos.
Transformación final: El DataFrame consolidado se ordena por IncidentId y EventTime para asegurar el orden cronológico correcto de eventos para cada caso. Las columnas SourceSystem y LastDataUpdate se añaden con valores estáticos.
Exportar a CSV: El Registro de eventos final se guarda como servicenow_incident_event_log.csv en el mismo directorio donde se ejecutó el script. Este archivo está listo para ser cargado en software de Process Mining.

Configuración

Instancia de ServiceNow (SNOW_INSTANCE): La URL completa de su instancia de ServiceNow, por ejemplo, https://yourcompany.service-now.com.
Credenciales (SNOW_USER, SNOW_PASSWORD): Detalles de autenticación para la cuenta de servicio. Para entornos de producción, considere usar autenticación basada en OAuth o tokens en lugar de autenticación básica.
Rango de Fechas (START_DATE, END_DATE): Define la ventana de tiempo para la extracción, basada en la fecha de creación del incidente. Se recomienda un rango de 3 a 6 meses para un análisis inicial, con el fin de equilibrar el volumen de datos y los conocimientos. Rangos más grandes aumentarán significativamente el tiempo de extracción.
Parámetros de Consulta de la API (sysparm_query): El script utiliza un sysparm_query para filtrar incidentes por su fecha de creación (sys_created_on). Puede añadir más condiciones aquí para limitar el alcance, por ejemplo, active=false^company=[Your Company Sys ID] para extraer solo incidentes cerrados de una compañía específica.
Limitación de Velocidad de la API: Tenga en cuenta los límites de velocidad de la API de ServiceNow. El script maneja la paginación pero no incorpora una gestión explícita de la limitación de velocidad. Para instancias muy grandes, es posible que necesite añadir llamadas time.sleep() entre solicitudes para evitar exceder los límites.
Permisos Requeridos: El usuario especificado debe tener acceso de lectura (ACLs) a las tablas incident, sys_audit y sys_journal_field. El rol itil suele proporcionar esto, pero su instancia puede tener controles de acceso personalizados.

a Consulta de ejemplo python

import requests
import pandas as pd
from datetime import datetime
import getpass

class=class="hl-string">"hl-comment"># --- Configuration ---
class=class="hl-string">"hl-comment"># Replace with your ServiceNow instance URL, e.g., class="hl-string">'https://yourinstance.service-now.com'
SNOW_INSTANCE = class="hl-string">"[Your ServiceNow Instance URL]"
class=class="hl-string">"hl-comment"># Replace with your ServiceNow user. Consider using a dedicated service account.
SNOW_USER = class="hl-string">"[Your Username]"
class=class="hl-string">"hl-comment"># It's recommended to use a secure way to handle passwords, like environment variables or a secrets manager.
class=class="hl-string">"hl-comment"># getpass is used here for interactive entry to avoid hardcoding.
SNOW_PASSWORD = getpass.getpass(class="hl-string">"Enter ServiceNow Password: ")

class=class="hl-string">"hl-comment"># Define the date range for the extraction (YYYY-MM-DD format)
START_DATE = class="hl-string">"2023-01-01"
END_DATE = class="hl-string">"2023-06-30"

SOURCE_SYSTEM_NAME = class="hl-string">"ServiceNow"

class=class="hl-string">"hl-comment"># --- Helper Function for Paginated API Calls ---
def fetch_all_records(url, headers, params):
    class="hl-string">"""Fetches all records from a paginated ServiceNow API endpoint."""
    all_records = []
    offset = 0
    limit = 1000
    while True:
        params[class="hl-string">'sysparm_offset'] = offset
        params[class="hl-string">'sysparm_limit'] = limit
        response = requests.get(url, headers=headers, params=params)
        response.raise_for_status() class=class="hl-string">"hl-comment"># Raises an exception for bad status codes
        data = response.json().get(class="hl-string">'result', [])
        if not data:
            break
        all_records.extend(data)
        offset += len(data)
        print(fclass="hl-string">"Fetched {len(all_records)} records so far...")
    return all_records

class=class="hl-string">"hl-comment"># --- Main Script ---
if __name__ == class="hl-string">"__main__":
    auth = (SNOW_USER, SNOW_PASSWORD)
    headers = {class="hl-string">"Accept": class="hl-string">"application/json"}
    last_data_update = datetime.utcnow().isoformat() + class="hl-string">"Z"

    class=class="hl-string">"hl-comment"># 1. Fetch base Incident Data
    print(class="hl-string">"\n--- Fetching Incident Data ---")
    incident_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/incident"
    incident_query = fclass="hl-string">"sys_created_on>={START_DATE} 00:00:00^sys_created_on<={END_DATE} 23:59:59"
    incident_params = {
        class="hl-string">'sysparm_query': incident_query,
        class="hl-string">'sysparm_fields': class="hl-string">'sys_id,number,sys_created_on,closed_at,opened_at,priority,state,assignment_group,assigned_to,problem_id'
    }
    incidents_raw = fetch_all_records(incident_url, headers, auth, incident_params)
    incidents_df = pd.DataFrame(incidents_raw)
    
    if incidents_df.empty:
        print(class="hl-string">"No incidents found for the given date range. Exiting.")
        exit()

    class=class="hl-string">"hl-comment"># Map sys_id to readable values for easier processing later
    for col in [class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'problem_id']:
        if col in incidents_df.columns:
            incidents_df[col] = incidents_df[col].apply(lambda x: x[class="hl-string">'display_value'] if isinstance(x, dict) and x else None)
            
    incident_sys_ids = class="hl-string">','.join(incidents_df[class="hl-string">'sys_id'].unique())

    class=class="hl-string">"hl-comment"># 2. Fetch Audit (sys_audit) Data for these incidents
    print(class="hl-string">"\n--- Fetching Audit Data ---")
    audit_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_audit"
    audit_query = fclass="hl-string">"documentkeyIN{incident_sys_ids}"
    audit_params = {
        class="hl-string">'sysparm_query': audit_query,
        class="hl-string">'sysparm_fields': class="hl-string">'documentkey,sys_created_on,fieldname,oldvalue,newvalue'
    }
    audit_raw = fetch_all_records(audit_url, headers, auth, audit_params)
    audit_df = pd.DataFrame(audit_raw)
    audit_df.rename(columns={class="hl-string">'documentkey': class="hl-string">'sys_id'}, inplace=True)

    class=class="hl-string">"hl-comment"># 3. Fetch Journal (comments) Data for these incidents
    print(class="hl-string">"\n--- Fetching Journal/Comment Data ---")
    journal_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_journal_field"
    journal_query = fclass="hl-string">"element_idIN{incident_sys_ids}^element=work_notes,comments"
    journal_params = {
        class="hl-string">'sysparm_query': journal_query,
        class="hl-string">'sysparm_fields': class="hl-string">'element_id,sys_created_on'
    }
    journal_raw = fetch_all_records(journal_url, headers, auth, journal_params)
    journal_df = pd.DataFrame(journal_raw)
    journal_df.rename(columns={class="hl-string">'element_id': class="hl-string">'sys_id'}, inplace=True)

    print(class="hl-string">"\n--- Processing Data and Generating Event Log ---")
    event_log_frames = []

    class=class="hl-string">"hl-comment"># Merge incident details into audit and journal logs for context
    incidents_context_df = incidents_df[[class="hl-string">'sys_id', class="hl-string">'number', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    incidents_context_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId'}, inplace=True)

    if not audit_df.empty:
        audit_df = pd.merge(audit_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')
    if not journal_df.empty:
        journal_df = pd.merge(journal_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')

    class=class="hl-string">"hl-comment"># Activity: Incident Created
    created_df = incidents_df[[class="hl-string">'number', class="hl-string">'sys_created_on', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    created_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Created'
    created_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'sys_created_on': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(created_df)

    class=class="hl-string">"hl-comment"># Activity: Incident Closed
    closed_df = incidents_df[incidents_df[class="hl-string">'closed_at'].notna() & (incidents_df[class="hl-string">'closed_at'] != class="hl-string">'')].copy()
    closed_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Closed'
    closed_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'closed_at': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(closed_df.drop(columns=[class="hl-string">'sys_created_on']))

    class=class="hl-string">"hl-comment"># Process audit data for remaining activities
    if not audit_df.empty:
        audit_df.sort_values(by=[class="hl-string">'sys_id', class="hl-string">'sys_created_on'], inplace=True)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Categorized (first change to category, subcategory, or priority)
        categorized_fields = [class="hl-string">'category', class="hl-string">'subcategory', class="hl-string">'priority']
        categorized_df = audit_df[audit_df[class="hl-string">'fieldname'].isin(categorized_fields)].copy()
        categorized_df = categorized_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        categorized_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Categorized'
        event_log_frames.append(categorized_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Group
        assign_group_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assignment_group') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_group_first_df = assign_group_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_group_first_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Group'
        event_log_frames.append(assign_group_first_df)
        
        class=class="hl-string">"hl-comment"># Activity: Assignment Group Changed (subsequent changes)
        assign_group_changed_df = assign_group_df.loc[assign_group_df.index.difference(assign_group_first_df.index)]
        assign_group_changed_df[class="hl-string">'ActivityName'] = class="hl-string">'Assignment Group Changed'
        event_log_frames.append(assign_group_changed_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Agent
        assign_agent_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assigned_to') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_agent_df = assign_agent_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_agent_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Agent'
        event_log_frames.append(assign_agent_df)

        class=class="hl-string">"hl-comment"># Activity: Work Started (State changed to In Progress)
        work_started_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: The class="hl-string">'newvalue' for state is often a numeric ID. Common value for class="hl-string">'In Progress' is class="hl-string">'2'. Adjust if needed.
        work_started_df = work_started_df[work_started_df[class="hl-string">'newvalue'].isin([class="hl-string">'2', class="hl-string">'In Progress', class="hl-string">'Work in Progress'])]
        work_started_df = work_started_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        work_started_df[class="hl-string">'ActivityName'] = class="hl-string">'Work Started'
        event_log_frames.append(work_started_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Escalated (Priority increases)
        priority_map = {class="hl-string">'1 - Critical': 1, class="hl-string">'2 - High': 2, class="hl-string">'3 - Moderate': 3, class="hl-string">'4 - Low': 4, class="hl-string">'5 - Planning': 5}
        escalated_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'priority'].copy()
        escalated_df[class="hl-string">'old_priority_val'] = escalated_df[class="hl-string">'oldvalue'].map(priority_map)
        escalated_df[class="hl-string">'new_priority_val'] = escalated_df[class="hl-string">'newvalue'].map(priority_map)
        escalated_df.dropna(subset=[class="hl-string">'old_priority_val', class="hl-string">'new_priority_val'], inplace=True)
        escalated_df = escalated_df[escalated_df[class="hl-string">'new_priority_val'] < escalated_df[class="hl-string">'old_priority_val']]
        escalated_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Escalated'
        event_log_frames.append(escalated_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Linked To Problem
        linked_problem_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'problem_id') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        linked_problem_df = linked_problem_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        linked_problem_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Linked To Problem'
        event_log_frames.append(linked_problem_df)
        
        class=class="hl-string">"hl-comment"># Activity: Resolution Proposed (State changed to Resolved)
        resolved_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: Common value for class="hl-string">'Resolved' is class="hl-string">'6'. Adjust if needed.
        resolved_df = resolved_df[resolved_df[class="hl-string">'newvalue'].isin([class="hl-string">'6', class="hl-string">'Resolved'])]
        resolved_df[class="hl-string">'ActivityName'] = class="hl-string">'Resolution Proposed'
        event_log_frames.append(resolved_df)
        
        class=class="hl-string">"hl-comment"># Activity: Awaiting User Confirmation (State changed to Awaiting User Info, after resolved)
        class=class="hl-string">"hl-comment"># This logic is complex and dependent on workflow. A simplified version is shown.
        state_changes = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        state_changes[class="hl-string">'prev_state'] = state_changes.groupby(class="hl-string">'sys_id')[class="hl-string">'oldvalue'].shift(-1)
        awaiting_df = state_changes[
            (state_changes[class="hl-string">'newvalue'].isin([class="hl-string">'Awaiting User Info', class="hl-string">'3'])) & 
            (state_changes[class="hl-string">'oldvalue'].isin([class="hl-string">'Resolved', class="hl-string">'6']))
        ].copy()
        awaiting_df[class="hl-string">'ActivityName'] = class="hl-string">'Awaiting User Confirmation'
        event_log_frames.append(awaiting_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Reopened
        reopened_df = audit_df[
            (audit_df[class="hl-string">'fieldname'] == class="hl-string">'state') & 
            (audit_df[class="hl-string">'oldvalue'].isin([class="hl-string">'6', class="hl-string">'7', class="hl-string">'Resolved', class="hl-string">'Closed']))
        ].copy()
        reopened_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Reopened'
        event_log_frames.append(reopened_df)
        
    class=class="hl-string">"hl-comment"># Activity: Support Comment Added
    if not journal_df.empty:
        comment_df = journal_df.copy()
        comment_df[class="hl-string">'ActivityName'] = class="hl-string">'Support Comment Added'
        event_log_frames.append(comment_df)

    class=class="hl-string">"hl-comment"># 4. Consolidate all event dataframes
    print(class="hl-string">"\n--- Consolidating Final Event Log ---")
    final_log = pd.DataFrame()
    for df in event_log_frames:
        if class="hl-string">'sys_created_on' in df.columns:
             df.rename(columns={class="hl-string">'sys_created_on': class="hl-string">'EventTime'}, inplace=True)
        if class="hl-string">'IncidentId' not in df.columns:
            continue class=class="hl-string">"hl-comment"># Skip frames that couldn't be processed
        
        common_cols = {
            class="hl-string">'IncidentId': None,
            class="hl-string">'ActivityName': None,
            class="hl-string">'EventTime': None,
            class="hl-string">'AssignedTo': None,
            class="hl-string">'AssignmentGroup': None,
            class="hl-string">'Priority': None,
            class="hl-string">'IncidentState': None
        }
        
        class=class="hl-string">"hl-comment"># Select and reorder columns, filling missing ones with None
        current_cols = {col: None for col in common_cols.keys()}
        df_subset = df[list(set(df.columns) & set(common_cols.keys()))].copy()
        final_log = pd.concat([final_log, df_subset], ignore_index=True)

    class=class="hl-string">"hl-comment"># 5. Final Cleaning and Formatting
    final_log.dropna(subset=[class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime'], inplace=True)
    final_log[class="hl-string">'EventTime'] = pd.to_datetime(final_log[class="hl-string">'EventTime'])
    final_log.sort_values(by=[class="hl-string">'IncidentId', class="hl-string">'EventTime'], inplace=True)
    
    final_log[class="hl-string">'SourceSystem'] = SOURCE_SYSTEM_NAME
    final_log[class="hl-string">'LastDataUpdate'] = last_data_update
    
    class=class="hl-string">"hl-comment"># Reorder columns to the desired format
    final_log = final_log[[
        class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime', class="hl-string">'SourceSystem', class="hl-string">'LastDataUpdate', 
        class="hl-string">'AssignedTo', class="hl-string">'AssignmentGroup', class="hl-string">'Priority', class="hl-string">'IncidentState'
    ]]

    class=class="hl-string">"hl-comment"># 6. Save to CSV
    output_filename = class="hl-string">'servicenow_incident_event_log.csv'
    final_log.to_csv(output_filename, index=False, date_format=class="hl-string">'%Y-%m-%dT%H:%M:%S.%f')
    print(fclass="hl-string">"\nSuccessfully extracted {len(final_log)} events for {final_log['IncidentId'].nunique()} incidents.")
    print(fclass="hl-string">"Event log saved to {output_filename}")

Plantilla de Datos: Gestión de Incidentes

Su Plantilla de Datos para la Gestión de Incidentes

Atributos de Gestión de Incidentes

Actividades de Gestión de Incidentes

Guías de Extracción

Extracción directa mediante ServiceNow Table REST API

Pasos

Configuración

a Consulta de ejemplo javascript

Extracción de Script de Python utilizando la API REST de ServiceNow

Pasos

Configuración

a Consulta de ejemplo python

¿Listo para comenzar?

Resuelva Incidentes Más Rápido: Aumente la Eficiencia de ServiceNow Ahora