> 継続的なプロセス改善 > インシデント管理 > ServiceNow Problem Management > データテンプレート

データテンプレート：インシデント管理

ServiceNow Problem Management

インシデント管理属性 (20) インシデント管理アクティビティ (13) 抽出ガイド (2)

貴社のインシデント管理データテンプレート

このテンプレートは、インシデント管理プロセスを分析し、最適化するために必要なデータを収集するための包括的なガイドを提供します。収集すべき不可欠なデータ属性、追跡すべき主要なアクティビティ、およびソースシステムからこの情報を抽出する方法に関する実用的なガイダンスを概説しています。このリソースを活用して、詳細なプロセス分析と改善のための堅牢なイベントログを構築してください。

収集を推奨する項目
追跡すべき主要アクティビティ
ServiceNow Problem Management向け抽出ガイダンス

イベントログについて初めての方へ：プロセスマイニングのイベントログ作成方法.

テンプレートをダウンロード

インシデント管理属性

これらは、インシデント管理プロセスの包括的な分析のためにイベントログに含めるべき推奨データフィールドです。

5 必須 4 推奨 11 任意

	名前	説明
	アクティビティ名 ActivityName	インシデントライフサイクル内の特定の時点で発生した特定のイベントまたはタスクの名前です。
説明アクティビティ名は、「インシデント作成済み」、「担当エージェントに割り当て済み」、「インシデントクローズ済み」といった、インシデント管理プロセスにおける特定のステップやステータス変更を表します。このデータは通常、StateやAssignment Groupなどの主要なインシデントフィールドの変更、または特定のイベントログエントリから取得されます。この属性は、プロセスマップを構築するために不可欠です。プロセスグラフのノードを定義することで、アナリストはインシデントのフローを視覚化し、一般的な経路を特定し、アクティビティ間のボトルネックを発見し、プロセスバリアントを分析できるようになります。これらのアクティビティ名の粒度と正確性が、プロセス分析の品質を直接左右します。その重要性プロセスマップ内のステップを定義し、すべてのプロセスマイニング分析と可視化の基盤となります。取得元これは派生属性であり、通常、sys_auditまたはincidentテーブル内のstate、assignment_group、assigned_toなどのフィールドの変更に基づいてデータ変換ロジックによって生成されます。例インシデント作成済み担当グループ変更解決策提案済みインシデントクローズ済み
	イベント日時 EventTime	アクティビティがいつ発生したかを示す正確なタイムスタンプです。
説明一般にタイムスタンプとも呼ばれるイベントタイムは、アクティビティが完了したか、ステータス変更が発生した正確な日付と時刻を記録します。ServiceNowでは、これは通常、監査ログに記録された各変更のsys_updated_onフィールドに格納されます。この属性は、イベントを正しく順序付けし、すべての時間ベースの分析を行うために不可欠です。サイクルタイム、キュー時間、アクティビティ間の期間を計算するために使用され、これらはボトルネックの特定、SLAに対するパフォーマンスの測定、およびプロセス効率の理解の基礎となります。これらのタイムスタンプの正確性は、期間ベースのあらゆるメトリックの有効性にとって極めて重要です。その重要性このタイムスタンプは、すべてのアクティビティを時系列順に並べ、サイクルタイムやボトルネックのような、すべての期間ベースのメトリクスの計算を可能にします。取得元 ServiceNowのsys_auditテーブル、sys_created_onフィールド、またはincidentテーブルの最終状態のsys_updated_onフィールド。例 2023-04-15T10:05:21Z2023-04-15T11:22:00Z2023-04-16T09:00:30Z
	インシデントID IncidentId	各インシデントレコードの一意の識別子で、全ライフサイクルを追跡するためのプライマリキーとして機能します。
説明インシデントIDは、ServiceNowで報告されたすべてのインシデントに割り当てられる一意の参照番号です。これは、インシデントが作成されてからクローズされるまでの、関連するすべてのアクティビティ、更新、コミュニケーションをリンクするコアのケース識別子として機能します。プロセスマイニング分析において、このIDは不可欠です。このIDにより、ツールは各個別のケースのイベントのシーケンスを結びつけることができ、プロセスマップの発見、バリアントの分析、エンドツーエンドの期間計算の基盤となります。各ケースに一意のインシデントIDがなければ、解決プロセスを通じたインシデントのジャーニーをトレースすることは不可能です。その重要性これは、インシデントのライフサイクル内のすべてのイベントを接続し、エンドツーエンドのプロセス分析を可能にする不可欠なケースIDです。取得元 ServiceNowのincidentテーブル、numberフィールド。例 INC0010001INC0010045INC0010239
	ソースシステム SourceSystem	このデータが抽出されたシステムです。
説明この属性は、インシデントデータの発生源を識別します。この場合、発生源はServiceNowのプロブレム管理です。これは通常、データ抽出および変換プロセス中に付加される静的な値です。複数のシステムからのデータが分析のために統合される可能性がある環境では、このフィールドはデータリネージと分離にとって非常に重要です。これにより、メトリクスとプロセスが正しいコンテキストで分析されることが保証され、アナリストが異なるソースシステム間でプロセスを比較できるようになります。その重要性データの出所に関する重要なコンテキストを提供し、データリネージを確保し、複数システム環境での正確な解釈を可能にします。取得元これは通常、データ抽出プロセス中に付加される静的な値です。例 ServiceNow Problem ManagementServiceNow
	最終データ更新 LastDataUpdate	このレコードのデータがソースシステムから最後に更新された日時を示すタイムスタンプ。
説明この属性は、ServiceNowからの最新のデータ抽出または更新日時を記録します。これは分析されるデータの鮮度を反映するメタデータフィールドであり、プロセス自体におけるイベントではありません。この情報は、分析の適時性を理解するために不可欠です。データがどれくらい最新であるかをユーザーに伝え、運用ダッシュボードや最近のイベントに基づいた意思決定にとって重要です。データの関連性と最新性に関する期待を管理するのに役立ちます。その重要性データの鮮度をユーザーに通知し、分析の関連性と正確性にとって不可欠です。取得元このタイムスタンプは、データロード時にデータ抽出ツールまたはプロセスによって生成および入力されます。例 2023-10-27T02:00:00Z2023-10-28T02:00:00Z
	インシデント状態 IncidentState	インシデントのライフサイクルにおける現在のステータスです。
説明インシデントステータスは、インシデントの現在の段階、「新規」、「進行中」、「保留」、「解決済み」などを示します。ステータスの変更は、プロセスマイニングのためのイベントログでアクティビティ生成の主な情報源となることがよくあります。各ステータスで費やされた時間を分析することは、ボトルネックを特定する強力な方法です。例えば、「保留」ステータスでの長い期間は、外部要因やユーザーへの依存を示唆する可能性があります。ステータス変更のシーケンスはプロセスマップの基盤ともなり、インシデントが解決に向かってどのように進行するかを示します。その重要性インシデントの進捗を追跡し、さまざまなステージで費やされた時間を分析し、プロセスボトルネックを特定する上で重要です。取得元 ServiceNowのincidentテーブル、incident_stateまたはstateフィールド。例新規進行中ユーザー情報待機中解決済みクローズ
	優先度 Priority	インシデントの優先度レベルで、対応に必要な緊急度を決定します。
説明 PriorityはServiceNowにおいて、インシデントの処理順序と速度を決定する重要なフィールドです。通常、インシデントの影響度とUrgencyに基づいて設定され、SLA目標に直接影響を与えます。この属性は、セグメンテーションとパフォーマンス分析に不可欠です。「SLAコンプライアンス概要」ダッシュボードでは、Priorityを用いて、高優先度インシデントが目標時間内に解決されているかを評価します。Priority別にサイクルタイムを分析することで、重要度の高いインシデントがより重要度の低いインシデントよりも迅速に処理されていることが確認できます。これは、ほとんどすべてのKPIとダッシュボードにとって重要な要素となります。その重要性ビジネス上の重要度に基づいてインシデントを区分けできるため、SLA コンプライアンス監視やリソース配分にとって不可欠です。取得元 ServiceNowのincidentテーブル、priorityフィールド。例 1 - Critical2 - High3 - Moderate4 - Low
	割り当て先 AssignedTo	現在、インシデントの作業に割り当てられているユーザーまたはエージェントです。
説明この属性は、特定の時点におけるインシデントの担当サポートエージェントを識別します。この情報は、ワークロードの分散、エージェントのパフォーマンス、および個人間の引き継ぎを理解するために非常に重要です。分析において、「担当者」はリソースの割り当てを可視化し、過負荷のエージェントを特定するのに役立ちます。また、インシデントが個人の担当者を何回変更したかを追跡するために「引き継ぎおよび再割り当てダッシュボード」でも使用され、これは非効率性や知識のギャップの指標となることがあります。エージェントごとの解決時間を分析することで、トップパフォーマーや追加トレーニングが必要なエージェントを特定することも可能です。その重要性エージェントのワークロード、パフォーマンス、個々の引き継ぎの分析を可能にし、リソース効率を理解する上で重要です。取得元 ServiceNowのincidentテーブル、assigned_toフィールド。例 Beth AnglinDavid Looハワード・ジョンソン
	担当グループ AssignmentGroup	インシデントの処理を担当するサポートチームまたはグループです。
説明割り当てグループは、インシデントの解決を担当するエージェントチームを表します。インシデントは、レベル1のヘルプデスクから専門のレベル2ネットワークチームなど、異なるグループ間でルーティングされることがよくあります。この属性は、チーム間の引き継ぎを分析し、組織的なボトルネックを特定するために不可欠です。「引き継ぎおよび再割り当て率」ダッシュボードは、どのチームが頻繁に再割り当てに関与しているかを示すためにこのデータに大きく依拠しています。また、異なるサポートグループ間のパフォーマンス比較を可能にし、組織内で解決の専門知識がどこにあるかを理解するのに役立ちます。その重要性これは、どのチームが責任を負っているかを追跡し、チームのパフォーマンス、ワークロード、およびグループ間の引き継ぎの分析を可能にします。取得元 ServiceNowのincidentテーブル、assignment_groupフィールド。例サービスデスクネットワークサポートデータベース管理者
	Caller CallerId	最初にインシデントを報告したユーザーです。
説明発信者は、インシデントの影響を受け、それを報告したエンドユーザーまたは顧客を特定します。この情報は、サービスの中断によって誰が影響を受けているかという状況を把握する上で役立ちます。プロセスフロー自体に常に中心的な役割を果たすわけではありませんが、発信者ごとにインシデントを分析することで、特定の個人や部署が問題によって過度に影響を受けているかどうかを明らかにできます。これはトレーニングの必要性や地域に特化した環境問題を示唆する可能性があります。また、顧客満足度調査やコミュニケーションのための顧客への直接的な接点となります。その重要性影響を受けるユーザーを特定し、部門別または個人別の分析を可能にし、ユーザーコミュニケーションのコンテキストを提供します。取得元 ServiceNowのincidentテーブル、caller_idフィールド。例 Abel TuterCarolina Pashドン・グッドリフ
	SLA 違反があったか？ IsSlaBreached	インシデントの解決がSLAの期日を超過したかどうかを示すフラグ。
説明これは、SLA（サービスレベルアグリーメント）に違反したインシデントにフラグを立てる計算されたブール属性です。実際の解決タイムスタンプと「SLA期日」を比較することで導き出されます。解決時間が期日を過ぎていれば、フラグはtrueに設定されます。この属性は、「SLAコンプライアンス概要」ダッシュボードおよび関連するKPIの基礎となります。複雑な時間比較を単純なtrue/falseのディメンションに変換することで分析を簡素化し、SLA違反のすべてのインシデントを簡単にフィルタリングし、カテゴリ、アサインメントグループ、優先度などの共通の特性を分析できるようにします。その重要性 SLA コンプライアンス分析を簡素化し、目標を達成できなかったすべてのインシデントの簡単なフィルタリングと詳細な分析を可能にします。取得元「解決済み日時」タイムスタンプと「SLA期日」タイムスタンプを比較することで計算されます。（解決済み日時 > SLA期日）。例 truefalse
	SLA期日 SlaDueDate	SLAに従ってインシデントが解決されると予想される目標日時です。
説明 SLA期限日は、インシデントの解決期限を表す計算されたタイムスタンプです。この日付は、優先度などのインシデントの特性に関連付けられたサービスレベル契約（SLA）によって決定されます。この属性は、「SLAコンプライアンス概要」ダッシュボードおよび「重要インシデントSLA違反率」KPIに不可欠です。これは実際の解決時間が比較されるベンチマークとして機能します。SLA期限日が近いインシデントを分析することで、プロアクティブなエスカレーションと優先順位付けに役立ちます。その重要性解決目標を定義し、SLA コンプライアンスを測定し、目標達成が危ぶまれるインシデントを特定することを可能にします。取得元この値は通常、incidentテーブルに関連付けられているtask_slaテーブルにあります。planned_end_timeフィールドが関連するタイムスタンプです。例 2023-05-20T17:00:00Z2023-06-01T09:00:00Z
	カテゴリ Category	ハードウェア、ソフトウェア、ネットワークなど、インシデントの大まかな分類です。
説明カテゴリは、インシデントの性質を広範に分類します。これは通常、サブカテゴリと組み合わせて、インシデントを適切なサポートチームにルーティングするのに役立ち、レポート作成やトレンド分析に使用されます。プロセスマイニングにとって、この属性は「インシデントカテゴリ分類の正確性」と「インシデント再発件数」ダッシュボードに不可欠です。プロセス途中でカテゴリが変更されたインシデントを分析することで、組織は初期トリアージの問題を特定できます。カテゴリでプロセスマップをフィルタリングすると、特定の種類のインシデントが異なる解決パスをたどったり、固有のボトルネックを経験したりするかが明らかになります。その重要性インシデントタイプの分析を可能にし、分類の正確性を測定するのに役立ち、ルーティングやトレンド分析に不可欠です。取得元 ServiceNowのincidentテーブル、categoryフィールド。例ハードウェアソフトウェアネットワークデータベース
	サイクルタイム CycleTime	インシデントが作成されてからクローズされるまでの合計期間です。
説明 Cycle Timeは、単一のケースにおけるインシデント管理プロセスのエンドツーエンドの期間を表す計算メトリックです。通常、「クローズ済み」タイムスタンプと「作成済み」タイムスタンプの差として計算されます。これは、プロセスマイニングにおいて最も基本的なKPIの1つであり、「インシデント解決サイクルタイム」ダッシュボードを直接サポートします。平均サイクルタイムとその分布を分析することで、組織は全体的な効率を測定し、パフォーマンスのベースラインを設定し、プロセス変更の影響を特定するのに役立ちます。このメトリックを優先度やカテゴリなどの属性でスライスすると、どの種類のインシデントが解決に最も時間がかかるかが明らかになります。その重要性この主要なKPIは、プロセスのエンドツーエンドの効率性を測定し、長期化しているケースを特定し、全体のパフォーマンスを追跡するために使用されます。取得元各インシデントIDについて、最後のイベントタイムスタンプから最初のイベントタイムスタンプを差し引くことで計算されます。例 2592008640001209600
	再オープンされたか？ IsReopened	インシデントが解決された後に再オープンされたかどうかを示すフラグ。
説明このブール値のフラグは、インシデントの状態が以前に「解決済み」または「クローズ済み」の状態に達した後で、アクティブな状態（例：「進行中」）に戻された場合にtrueに設定されます。これは通常、イベントログで「インシデント再オープン」アクティビティを探すことで識別されます。再オープンされたインシデントは、不完全または効果的でない解決策の強力な指標です。これらのケースを分析することで、時期尚早なクローズや、初回で適切に修正されなかった再発する問題を特定するのに役立ちます。再オープン率が高いと、ユーザー満足度とチームの生産性に悪影響を及ぼす可能性があり、これは品質管理の主要なメトリクスとなります。その重要性このフラグは解決プロセスにおける失敗を特定し、解決済みとされた後に、追加作業が必要となったインシデントを強調表示します。取得元各インシデントのアクティビティのシーケンスをチェックし、「オープン」状態が「解決済み」状態の後に続くかどうかを確認することで計算されます。例 truefalse
	再割り当て回数 ReassignmentCount	インシデントが異なるグループまたはエージェントに再割り当てされた回数です。
説明このフィールドは、インシデントが異なるアサインメントグループ間で転送された総回数を追跡します。これはプロセス摩擦の直接的な測定値であり、しばしば主要なパフォーマンス指標として使用されます。この属性は、「引き継ぎと再割り当て率」ダッシュボードおよび「インシデントあたりの平均引き継ぎ数」KPIの主要な要因です。再割り当て回数が多い場合、初期ルーティングの誤り、サポート階層におけるスキル不足、または不明確なプロセス所有権などの問題を示すことが多いです。この数を減らすことは、通常、解決時間の短縮につながるため、プロセス改善イニシアチブの一般的な目標です。その重要性これはプロセスの引き継ぎを直接測定するもので、非効率性、不適切なルーティング、改善の機会を示す主要な指標となります。取得元 ServiceNowのincidentテーブル、reassignment_countフィールド。例 0135
	問題ID ProblemId	インシデントがより大きな問題に関連付けられている場合に、その問題レコードの識別子となります。
説明問題IDは、インシデントを問題管理モジュール内の対応するレコードにリンクします。これは、インシデントが複数のユーザーやサービスに影響を与えるより大きな根本的な問題の症状であると識別されたときに実行されます。この連携は、「インシデント再発件数」ダッシュボードと「インシデント再発率」KPIにとって重要です。アナリストは、同じ根本原因に起因するインシデントをグループ化し、問題の全体的な影響を測定し、問題解決の取り組みの有効性を追跡できます。問題にリンクされたインシデントの数が多いことは、リアクティブなサポート環境を示します。その重要性インシデントを根本原因に関連付け、再発する問題の分析や問題管理の効果測定に不可欠です。取得元 ServiceNowのincidentテーブル、problem_idフィールド。例 PRB0040001PRB0040015PRB0040102
	構成アイテム ConfigurationItem	インシデントによって影響を受ける特定のITコンポーネント、サービス、または資産です。
説明構成アイテム（CI）は、構成管理データベース（CMDB）に登録されており、インシデントによって影響を受ける資産です。これは、サーバー、アプリケーション、ノートパソコン、ネットワークデバイスなどが考えられます。 CIごとにインシデントを分析することは、信頼性の低い資産やサービスを特定するために非常に有用です。ITインフラストラクチャのどの部分が最も多くのインシデントを発生させているかを特定するのに役立ち、アップグレードや交換への投資の指針となります。プロセスマイニングでは、CIでフィルタリングすることで、重要なアプリケーションに関連するインシデントが他とは異なる方法で、またはより効率的に処理されているかを明らかにできます。その重要性影響を受ける資産を特定し、ITインフラストラクチャ内の問題のあるコンポーネントを明確にし、改善活動に集中するのに役立ちます。取得元 ServiceNowのincidentテーブル、cmdb_ciフィールド。例 SAP ERP本番環境Oracle DB Server 05メールサービス
	解決コード ResolutionCode	インシデントが最終的にどのように解決されたかを示すコード。
説明解決コードは、適用された解決策の性質を指定します。例えば、ユーザーによって解決されたか、既知のエラーで対処されたか、またはワークアラウンドが提供されたかなどです。このフィールドは通常、インシデントをクローズする際にエージェントによって入力されます。この属性は、「解決タイプの有効性」ダッシュボードを直接サポートします。これにより、永続的な修正でクローズされたインシデントと一時的なワークアラウンドでクローズされたインシデントの数を分析でき、これはサービス品質と長期的な安定性の重要な指標です。ワークアラウンドの発生率が高い場合、根本的な問題が適切に対処されていない可能性を示唆するかもしれません。その重要性解決方法を明確にし、恒久的な修正と一時的な回避策の分析を可能にし、根本原因分析をサポートします。取得元 ServiceNowのincidentテーブル、close_codeフィールド、またはカスタムの解決コードフィールド。例解決済み（ワークアラウンド）解決済み（恒久的）未解決（ユーザーキャンセル）既知のエラー
	重大度 Severity	インシデントによって引き起こされるビジネスへの影響レベルです。
説明 Severityは、インシデントがビジネスオペレーションにどの程度影響を与えているかを定義します。Urgencyとともに、インシデントのPriorityを自動的に計算するためによく使用されます。分析において、Severityは「SLAコンプライアンス概要」ダッシュボードにとって重要な要素となります。最も重大なインシデントに対してサービスレベルを達成しているかを組織が理解するのに役立ちます。これは、Priorityによって提供されるオペレーションビューを補完するビジネス中心のパフォーマンスビューを提供します。その重要性インシデントのビジネスへの影響を測定し、取り組みの優先順位付けや重要な問題に関するパフォーマンス分析にとって極めて重要な側面を提供します。取得元 ServiceNowのincidentテーブル、severityフィールド。例 1 - High2 - Medium3 - Low

必須推奨任意

インシデント管理アクティビティ

これらは、正確なプロセスディスカバリと最適化のために、イベントログに記録すべき主要なプロセスステップとマイルストーンです。

6 推奨 7 任意

	アクティビティ	説明
	インシデントがグループに割り当て済み	このアクティビティは、インシデントが特定のサポートグループに処理のために割り当てられたときに発生します。これはルーティングプロセスにおける重要なステップであり、割り当てグループフィールドへの変更を監視することで捕捉されます。
その重要性アサインメントの追跡は、引き継ぎ、各グループのキュー時間、およびルーティングの非効率性やボトルネックを特定するために不可欠です。取得元 'sys_audit' テーブルから、'incident' テーブルの 'assignment_group' フィールドが入力または変更されたタイミングを追跡することで推測されます。取得 assignment_group フィールドの変更については、監査ログから timestamp を使用します。イベントタイプ inferred
	インシデントクローズ済み	これはライフサイクルにおける最終アクティビティであり、インシデントが完全に解決され、確認され、それ以上のアクションが不要であることを示します。このイベントは、クローズタイムスタンプを介して明示的に捕捉されます。
その重要性最終的な終了イベントとして、このアクティビティはインシデントの総ライフサイクル期間を計算し、解決後の処理にかかる時間を分析するために不可欠です。取得元 incidentテーブルのclosed_at タイムスタンプは、明示的なイベントタイムスタンプとして機能します。これは通常、stateフィールドが「Closed」に変更されたときに設定されます。取得インシデント記録から closed_at の timestamp を使用します。イベントタイプ explicit
	インシデント作成済み	ServiceNowに新しいインシデントが正式に記録されたときのインシデントライフサイクルの始まりを示します。このイベントは、インシデントレコードの作成タイムスタンプを使用して明示的に捕捉されます。
その重要性これはプロセスにおける主要な開始イベントです。このアクティビティから解決までの時間を分析することは、全体のサイクルタイムとSLAコンプライアンスを測定するための基本となります。取得元 incidentテーブルのsys_created_on タイムスタンプは、このアクティビティの明示的なイベントタイムスタンプとして機能します。取得インシデント記録から sys_created_on の timestamp を使用します。イベントタイプ explicit
	作業開始	エージェントがインシデントの調査または作業を積極的に開始したことを示します。これは通常、インシデントのステータスが「新規 (New)」または「アサイン済み (Assigned)」から「処理中 (In Progress)」のようなアクティブな状態に変わることで推測されます。
その重要性このマイルストーンは、初期のキュー時間の終了とアクティブな解決努力の開始を示します。作業が開始されるまでの時間を測定することは、ボトルネック分析にとって重要です。取得元 'sys_audit' テーブルから、'incident' テーブルの 'state' フィールドが「処理中 (In Progress)」のような、アクティブな作業を示す値に変更されたことを特定することで推測されます。取得 stateフィールドが「In Progress」または類似の値に変更されたタイムスタンプを特定します。イベントタイプ inferred
	担当グループ変更	あるサポートグループから別のサポートグループにインシデントが引き渡されるハンドオフを表します。これは、assignment_groupフィールドが最初に設定された後の変更を監視することで捕捉されます。
その重要性頻繁な再割り当ては、初期ルーティングの誤り、プロセスの複雑さ、または知識ギャップを示す可能性があります。このアクティビティは、「インシデントあたりの平均引き継ぎ回数」KPIを測定するために重要です。取得元 'sys_audit' テーブルから、初期割り当て後の 'assignment_group' フィールドへの変更を追跡することで推測されます。取得監査ログ内のassignment_groupフィールドへのタイムスタンプ付きの各変更を特定します。イベントタイプ inferred
	解決策提案済み	サポートエージェントが修正を適用し、インシデントを「解決済み (Resolved)」状態に移行させた時点を示します。これは最終クローズに先立つ重要なマイルストーンです。
その重要性このアクティビティは、アクティブな作業の終了と確認フェーズの開始を示します。このアクティビティから「インシデントクローズ」までの期間は、ユーザーによる確認や検証における遅延を明らかにすることがあります。取得元 'sys_audit' テーブルから、'incident' テーブルの 'state' フィールドが「解決済み (Resolved)」に変更されたときに推測されます。この時、'resolved_at' タイムスタンプが入力されることがよくあります。取得 state フィールドが「Resolved」に変わった時点、または resolved_at の timestamp を使用します。イベントタイプ inferred
	インシデントエスカレート	インシデントの優先度または重大度が増加した場合に発生し、多くの場合、より迅速な対応や異なるリソースが必要とされます。これは、'priority' フィールドの値が上位に変更されたことを検出することで推測されます。
その重要性エスカレーションは、インシデントが当初考えられていたよりも深刻であるか、SLA違反に近づいていることを示すことがよくあります。これらのイベントを分析することは、プロセス例外を理解するのに役立ちます。取得元 'sys_audit' テーブルから、'priority' フィールドがより緊急度の高い値に変更されたことを特定することで推測されます。取得「優先度」フィールドの値が増加する（例：「3 - 中」から「2 - 高」になる）場合を検出します。イベントタイプ inferred
	インシデントカテゴリ分類済み	インシデントの初期分類を表します。ここでCategory、Subcategory、Priorityなどのフィールドが設定されます。このイベントは通常、これらのフィールドが最初に設定された時や、作成直後に更新された時の監査ログから推測されます。
その重要性正確なカテゴリ分類は、適切なルーティングと優先順位付けにとって不可欠です。このアクティビティを追跡することで、再カテゴリ分類率とその解決時間への影響を分析するのに役立ちます。取得元 'sys_audit' テーブルから、特定のインシデントについて 'category'、'subcategory'、または 'priority' などのフィールドへの最初の変更を特定することで推測されます。取得監査ログ内で分類フィールドへの最初の更新のタイムスタンプを特定します。イベントタイプ inferred
	インシデントが問題にリンク済み	インシデントが正式に問題レコードに関連付けられ、それがより広範な根本的な問題の一部であることを示すアクティビティです。これは、インシデントレコードのproblem_idフィールドに値が入力されたときに検出されます。
その重要性問題へのリンクは、受動的なインシデント修正から能動的な根本原因分析へと移行するための重要なステップです。「再発インシデントボリューム」ダッシュボードをサポートします。取得元 'incident' テーブル上の 'problem_id' 参照フィールドに値が入力されたことを検出することで推測されます。取得監査ログからproblem_idフィールドが入力されたタイムスタンプを特定します。イベントタイプ inferred
	インシデントが担当者に割り当て済み	サポートグループ内の特定のエージェントがインシデントの所有権を取得する時点を表します。これは、assigned_toフィールドの変更を監視することで捕捉されます。
その重要性これは、エージェントのワークロードと初回コンタクト解決の詳細なビューを提供します。インシデントがグループに割り当てられた後、個人が作業を開始するまでにどれくらい待つかを判断するのに役立ちます。取得元 'sys_audit' テーブルから、'incident' テーブルの 'assigned_to' フィールドが入力または変更されたタイミングを追跡することで推測されます。取得 assigned_to フィールドの変更については、監査ログから timestamp を使用します。イベントタイプ inferred
	インシデント再オープン済み	問題が解決済みとしてマークされた後も継続しているとユーザーが報告した場合に発生します。これは、インシデントのステータスが「解決済み (Resolved)」から「処理中 (In Progress)」のようなアクティブな状態に戻ることで推測されます。
その重要性再オープンされたインシデントは、解決の失敗を示し、手戻りとなります。この活動の追跡は、解決の品質と初回解決率を測定するために不可欠です。取得元 'sys_audit' テーブルから、'state' フィールドが「解決済み (Resolved)」から「処理中 (In Progress)」や「アサイン済み (Assigned)」のようなアクティブな状態に戻る遷移を検出することで推測されます。取得 stateが「Resolved」からアクティブな値に移行したタイムスタンプを特定します。イベントタイプ inferred
	サポートコメント追加済み	サポートエージェントが、ユーザーに表示される作業メモまたはコメントを追加します。これは、インシデントのアクティビティストリームに明示的にログされるイベントです。
その重要性サポートチームによるコミュニケーションや調査の履歴を追跡します。コメントの頻度やタイミングを分析することで、調査プロセスの詳細な実態を把握できます。取得元 incidentテーブル上のwork_notesフィールドとcommentsフィールドのエントリをログに記録するsys_journal_fieldテーブルから取得されます。取得「work_notes」または「comments」が入力されたジャーナルエントリの作成 timestamp を使用します。イベントタイプ explicit
	ユーザー確認待ち	インシデントは保留ステータスにあり、提案された解決策が成功したことをユーザーが確認するのを待っています。これは通常、解決後に「ユーザー情報待ち」のような特定のステータスから推測されます。
その重要性ユーザーの応答が遅い場合、この状態が大きなボトルネックとなる可能性があります。このアクティビティに費やされた時間を測定することで、コミュニケーションのギャップやクローズを自動化する機会を特定するのに役立ちます。取得元 'sys_audit' テーブルから、解決後に特定の保留状態への変更を特定することで推測されます。この状態名は、「発信者待ち (Awaiting Caller)」のようなカスタム名である場合があります。取得 stateがユーザー入力を待機していることを示す値に変更されたタイムスタンプを特定します。イベントタイプ inferred

推奨任意

抽出ガイド

ServiceNow Problem Managementからデータを取得する方法

ステップ

ServiceNowアクセス設定: ServiceNowでサービスアカウントの認証情報を取得します。このアカウントには、incidentテーブル、sys_auditテーブル、およびsys_id、number、sys_created_on、resolved_at、closed_at、assignment_group、assigned_to、priority、incident_state、state、category、subcategory、problem_id、comments、work_notesを含むすべての必須フィールドに対する読み取り権限（ACL）が必要です。
Node.js環境の設定: 抽出スクリプトを実行するマシンにNode.jsがインストールされていることを確認します。HTTPリクエスト用のaxiosライブラリを、ターミナルでnpm install axiosを実行してインストールします。
抽出スクリプトの準備: 提供されたJavaScriptコードを、例えばextract_incidents.jsのようなファイルにコピーします。スクリプトの冒頭にあるServiceNowインスタンスのURL、ユーザー名、パスワードのプレースホルダー値を入力します。
抽出パラメータの定義: スクリプト内のstartDateとendDate変数を調整して、抽出したいインシデントの時間枠を定義します。初期実行では、結果を検証するために、1週間などの短い日付範囲を使用することをお勧めします。
スクリプトの実行: ターミナルからnode extract_incidents.jsコマンドを使用してスクリプトを実行します。スクリプトはServiceNow APIからインシデントデータとそれに対応する監査ログの取得を開始します。
スクリプトの進行状況を監視: スクリプトは、処理されたインシデントの数をコンソールに表示して進行状況を記録します。大規模なデータセットの場合、必要なAPIコールの数が多いため、このプロセスにはかなりの時間がかかる場合があることに注意してください。
API応答の処理: スクリプトは各インシデントをプログラム的に繰り返し処理します。各インシデントの変更履歴全体をsys_auditテーブルから照会して取得します。次に、この履歴を処理し、13の必須アクティビティを特定してタイムスタンプを付与します。
推論されたアクティビティの処理: スクリプトには、フィールドの変更からアクティビティを推論するロジックが含まれています。例えば、priorityフィールドの新しい値が古い値よりも低い場合（優先度が高いことを示す）に、「インシデントエスカレート」が作成されます。「作業開始」は、「進行中」への最初のステータス変更によって識別されます。
イベントログの構造化: アクティビティが識別されると、それらはイベントログレコードにフォーマットされ、各レコードにはIncidentId、ActivityName、EventTimeなどの必須列が含まれます。
出力の保存: スクリプトが完了すると、生成されたイベントログはservicenow_incident_event_log.jsonという名前のJSONファイルとして同じディレクトリに保存されます。このファイルには、抽出されたすべてのイベントの配列が含まれています。
CSVへの変換: ProcessMindへのアップロードには、最終的なJSON出力をCSVファイルに変換する必要がある場合があります。標準的なデータツールまたはシンプルなスクリプトを使用して、JSON配列を表形式のCSVフォーマットに変換し、列ヘッダーが必須属性と一致することを確認します。

設定

API エンドポイント：このスクリプトは ServiceNow の Table API にある主要な2つのエンドポイントを対象とします。
- https://[Your ServiceNow Instance].service-now.com/api/now/table/incident
- https://[Your ServiceNow Instance].service-now.com/api/now/table/sys_audit
認証：本スクリプトは Basic 認証（ユーザー名とパスワード）を使用します。サービスアカウントの認証情報が正しく、有効であることを確認してください。
日付範囲のフィルタリング：クエリはインシデントの作成日時（sys_created_on）で絞り込みます。これはスクリプト内の変数 startDate と endDate で設定します。有意な分析には3〜6か月分のデータ抽出を推奨しますが、まずはテスト目的で短い期間から始めてください。
主要なクエリパラメータ：
- sysparm_query：レコードを絞り込むために使用します。スクリプトは、作成日時でインシデントを絞り込むエンコードされたクエリ文字列を構築します。
- sysparm_fields：取得するフィールドを指定し、APIペイロードを削減してパフォーマンスを向上させます。
- sysparm_limit：1リクエストあたりの返す件数を指定し、ページネーションを管理します。スクリプトでは一般的な値として1000を設定しています。
- sysparm_offset：sysparm_limit と併用し、次ページ以降のデータを取得します。
パフォーマンス面での注意点：すべてのインシデントについて sys_audit テーブルを照会するとリソース負荷が高くなります。非常に大規模なServiceNow環境では、オフピークの時間帯に抽出を実行することを検討してください。スクリプトは API を過負荷にしないようインシデントを逐次処理しますが、その分全体の実行時間は長くなります。
前提条件：スクリプトの実行には Node.js の実行環境が必要です。抽出を実行するユーザーまたはサービスアカウントには、incident および sys_audit テーブルに対する必要な読み取り権限（ACL）が付与されている必要があります。

a クエリ例 javascript

const axios = require('axios');
const fs = require('fs');

// --- Configuration ---
const INSTANCE_URL = 'https://[your-instance].service-now.com';
const USERNAME = '[your-username]';
const PASSWORD = '[your-password]';

// Define the date range for the extraction
const startDate = '2023-01-01 00:00:00';
const endDate = '2023-03-31 23:59:59';

const BATCH_SIZE = 1000; // Records per API call for incidents
const SOURCE_SYSTEM = 'ServiceNow';

// --- Main Extraction Logic ---
async function extractIncidentData() {
    const auth = { username: USERNAME, password: PASSWORD };
    const allEvents = [];
    let offset = 0;
    let hasMoreRecords = true;

    console.log(Starting extraction for incidents created between ${startDate} and ${endDate}...);

    while (hasMoreRecords) {
        try {
            // 1. Fetch a batch of incidents
            const incidentQuery = sys_created_on>=${startDate}^sys_created_on<=${endDate};
            const incidentFields = [
                'sys_id', 'number', 'sys_created_on', 'resolved_at', 'closed_at',
                'assigned_to', 'assignment_group', 'priority', 'incident_state',
                'state', 'sys_updated_on'
            ].join(',');

            console.log(Fetching incidents, offset: ${offset}...);
            const incidentResponse = await axios.get(${INSTANCE_URL}/api/now/table/incident, {
                auth,
                params: {
                    sysparm_query: incidentQuery,
                    sysparm_fields: incidentFields,
                    sysparm_limit: BATCH_SIZE,
                    sysparm_offset: offset
                }
            });

            const incidents = incidentResponse.data.result;
            if (incidents.length === 0) {
                hasMoreRecords = false;
                continue;
            }

            // 2. For each incident, fetch its audit trail and generate events
            for (const incident of incidents) {
                const lastDataUpdate = new Date().toISOString();

                // --- Explicit Events from Incident Table ---
                allEvents.push(createEvent(incident, 'Incident Created', incident.sys_created_on, lastDataUpdate));
                if (incident.resolved_at) {
                    allEvents.push(createEvent(incident, 'Resolution Proposed', incident.resolved_at, lastDataUpdate));
                }
                if (incident.closed_at) {
                    allEvents.push(createEvent(incident, 'Incident Closed', incident.closed_at, lastDataUpdate));
                }

                // --- Inferred Events from Audit Table ---
                const auditQuery = documentkey=${incident.sys_id};
                const auditFields = 'sys_created_on,fieldname,oldvalue,newvalue';
                const auditResponse = await axios.get(${INSTANCE_URL}/api/now/table/sys_audit, {
                    auth,
                    params: { sysparm_query: auditQuery, sysparm_fields: auditFields, sysparm_display_value: 'true' }
                });

                const auditRecords = auditResponse.data.result.sort((a, b) => new Date(a.sys_created_on) - new Date(b.sys_created_on));
                
                let isCategorized = false, isGroupAssigned = false, isAgentAssigned = false, isWorkStarted = false, isProblemLinked = false, isReopened = false;
                let lastPriority = null;
                
                for (const audit of auditRecords) {
                    const eventTime = audit.sys_created_on;
                    
                    if (!isCategorized && (audit.fieldname === 'category' || audit.fieldname === 'subcategory') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Categorized', eventTime, lastDataUpdate));
                        isCategorized = true;
                    }
                    if (!isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Group', eventTime, lastDataUpdate));
                        isGroupAssigned = true;
                    } else if (isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Assignment Group Changed', eventTime, lastDataUpdate));
                    }
                    if (!isAgentAssigned && audit.fieldname === 'assigned_to' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Agent', eventTime, lastDataUpdate));
                        isAgentAssigned = true;
                    }
                    if (!isWorkStarted && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Work Started', eventTime, lastDataUpdate));
                        isWorkStarted = true;
                    }
                    if ((audit.fieldname === 'comments' || audit.fieldname === 'work_notes') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Support Comment Added', eventTime, lastDataUpdate));
                    }
                    if (audit.fieldname === 'priority') {
                         const oldPriorityVal = parseInt(audit.oldvalue.match(/\d+/), 10);
                         const newPriorityVal = parseInt(audit.newvalue.match(/\d+/), 10);
                         if (lastPriority !== null && newPriorityVal < lastPriority) {
                             allEvents.push(createEvent(incident, 'Incident Escalated', eventTime, lastDataUpdate));
                         }
                         lastPriority = newPriorityVal;
                    }
                    if (!isProblemLinked && audit.fieldname === 'problem_id' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Linked To Problem', eventTime, lastDataUpdate));
                        isProblemLinked = true;
                    }
                    if ((audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('awaiting')) {
                         allEvents.push(createEvent(incident, 'Awaiting User Confirmation', eventTime, lastDataUpdate));
                    }
                    if (!isReopened && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && (audit.oldvalue.toLowerCase().includes('resolved') || audit.oldvalue.toLowerCase().includes('closed')) && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Incident Reopened', eventTime, lastDataUpdate));
                        isReopened = true; 
                    }
                }
            }

            offset += BATCH_SIZE;
            console.log(Processed ${incidents.length} incidents. Total events so far: ${allEvents.length});

        } catch (error) {
            console.error('An error occurred:', error.response ? error.response.data : error.message);
            hasMoreRecords = false; // Stop on error
        }
    }

    // 3. Save results to a file
    fs.writeFileSync('servicenow_incident_event_log.json', JSON.stringify(allEvents, null, 2));
    console.log(Extraction complete. ${allEvents.length} events saved to servicenow_incident_event_log.json);
}

// --- Helper Function to create a standard event object ---
function createEvent(incident, activityName, eventTime, lastDataUpdate) {
    return {
        IncidentId: incident.number,
        ActivityName: activityName,
        EventTime: eventTime,
        SourceSystem: SOURCE_SYSTEM,
        LastDataUpdate: lastDataUpdate,
        AssignedTo: incident.assigned_to.display_value || '',
        AssignmentGroup: incident.assignment_group.display_value || '',
        Priority: incident.priority.display_value || '',
        IncidentState: incident.incident_state.display_value || incident.state.display_value || ''
    };
}

// --- Run the script ---
extractIncidentData();

ステップ

前提条件: システムにPython 3.6以降がインストールされていることを確認してください。pip install requests pandas を使用して必要なライブラリをインストールします。
ServiceNowのセットアップ: この抽出用にServiceNowで専用のサービスアカウントを作成します。このユーザーにitilとrest_api_explorerロールを付与し、必要なテーブル（incident、sys_audit、sys_journal_field）への読み取りアクセス権があることを確認します。
スクリプトの設定: 提供されたPythonスクリプトを開きます。上部の設定セクションを見つけ、SNOW_INSTANCE、SNOW_USER、SNOW_PASSWORDのプレースホルダー値を、ServiceNowインスタンスのURLとサービスアカウントの認証情報に置き換えます。START_DATEとEND_DATEを調整して、抽出する期間を定義します。
スクリプトの実行: コマンドラインからpython your_script_name.pyを使用してスクリプトを実行します。スクリプトはServiceNowへの認証を開始し、APIコールを実行します。
データ取得: スクリプトはまず、指定された日付範囲内に作成されたすべてのインシデントのリストをincidentテーブルから取得します。次に、このインシデントIDのリストを使用して、sys_auditから関連するすべての監査履歴と、sys_journal_fieldからすべてのコメントを取得します。
イベントログの生成: スクリプトは取得した生データをメモリ内で処理します。事前定義されたアクティビティを繰り返し処理し、それぞれについて個別の行セットを生成します。例えば、sys_created_onフィールドから「インシデント作成」イベントを、closed_atフィールドから「インシデントクローズ」イベントを特定します。その他のイベントについては、監査ログを分析して、ステータス遷移、フィールド変更、エスカレーションを特定します。
属性マッピング: 生成されたイベント行ごとに、スクリプトはメインインシデントレコードに対してルックアップを実行し、イベント発生時のAssignmentGroup、AssignedTo、Priority、IncidentStateなどのコンテキスト属性を追加します。
データ統合: すべての個別のイベントデータフレーム（アクティビティタイプごとに1つ）が、単一の包括的なイベントログデータフレームに結合されます。
最終変換: 結合されたデータフレームは、各ケースのイベントが正しい時系列順になるように、IncidentIdとEventTimeでソートされます。SourceSystemとLastDataUpdate列は静的な値で追加されます。
CSVへのエクスポート: 最終的なイベントログは、スクリプトが実行されたのと同じディレクトリにservicenow_incident_event_log.csvとして保存されます。このファイルはプロセスマイニングソフトウェアへのアップロード準備ができています。

設定

ServiceNowインスタンス（SNOW_INSTANCE）：貴社のServiceNowインスタンスの完全なURLです（例：https://yourcompany.service-now.com）。
認証情報（SNOW_USER, SNOW_PASSWORD）：サービスアカウントの認証情報です。本番環境ではBasic認証ではなく、OAuthやトークンベースの認証の利用を検討してください。
日付範囲（START_DATE, END_DATE）：インシデントの作成日時を基準に、抽出対象の期間を定義します。初期分析では、データ量と洞察のバランスが取れる3〜6か月を推奨します。期間を広げると抽出時間は大きく延びます。
API クエリパラメータ（sysparm_query）：スクリプトは sysparm_query を使って、作成日時（sys_created_on）でインシデントを絞り込みます。さらに条件を追加して範囲を絞り込めます。例えば、特定企業のクローズ済みインシデントのみを抽出するには active=false^company=[Your Company Sys ID] のように指定します。
API のレート制限：ServiceNowのAPIレート制限に注意してください。スクリプトはページネーションに対応していますが、レート制限への明示的な対応は含まれていません。非常に大規模な環境では、リクエスト間に time.sleep() を挟むなど、制限超過を避ける工夫が必要になる場合があります。
必要な権限：指定ユーザーは incident、sys_audit、sys_journal_field テーブルへの読み取り権限（ACL）を持っている必要があります。通常は itil ロールで満たされますが、インスタンス固有のアクセス制御がある場合があります。

a クエリ例 python

import requests
import pandas as pd
from datetime import datetime
import getpass

class=class="hl-string">"hl-comment"># --- Configuration ---
class=class="hl-string">"hl-comment"># Replace with your ServiceNow instance URL, e.g., class="hl-string">'https://yourinstance.service-now.com'
SNOW_INSTANCE = class="hl-string">"[Your ServiceNow Instance URL]"
class=class="hl-string">"hl-comment"># Replace with your ServiceNow user. Consider using a dedicated service account.
SNOW_USER = class="hl-string">"[Your Username]"
class=class="hl-string">"hl-comment"># It's recommended to use a secure way to handle passwords, like environment variables or a secrets manager.
class=class="hl-string">"hl-comment"># getpass is used here for interactive entry to avoid hardcoding.
SNOW_PASSWORD = getpass.getpass(class="hl-string">"Enter ServiceNow Password: ")

class=class="hl-string">"hl-comment"># Define the date range for the extraction (YYYY-MM-DD format)
START_DATE = class="hl-string">"2023-01-01"
END_DATE = class="hl-string">"2023-06-30"

SOURCE_SYSTEM_NAME = class="hl-string">"ServiceNow"

class=class="hl-string">"hl-comment"># --- Helper Function for Paginated API Calls ---
def fetch_all_records(url, headers, params):
    class="hl-string">"""Fetches all records from a paginated ServiceNow API endpoint."""
    all_records = []
    offset = 0
    limit = 1000
    while True:
        params[class="hl-string">'sysparm_offset'] = offset
        params[class="hl-string">'sysparm_limit'] = limit
        response = requests.get(url, headers=headers, params=params)
        response.raise_for_status() class=class="hl-string">"hl-comment"># Raises an exception for bad status codes
        data = response.json().get(class="hl-string">'result', [])
        if not data:
            break
        all_records.extend(data)
        offset += len(data)
        print(fclass="hl-string">"Fetched {len(all_records)} records so far...")
    return all_records

class=class="hl-string">"hl-comment"># --- Main Script ---
if __name__ == class="hl-string">"__main__":
    auth = (SNOW_USER, SNOW_PASSWORD)
    headers = {class="hl-string">"Accept": class="hl-string">"application/json"}
    last_data_update = datetime.utcnow().isoformat() + class="hl-string">"Z"

    class=class="hl-string">"hl-comment"># 1. Fetch base Incident Data
    print(class="hl-string">"\n--- Fetching Incident Data ---")
    incident_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/incident"
    incident_query = fclass="hl-string">"sys_created_on>={START_DATE} 00:00:00^sys_created_on<={END_DATE} 23:59:59"
    incident_params = {
        class="hl-string">'sysparm_query': incident_query,
        class="hl-string">'sysparm_fields': class="hl-string">'sys_id,number,sys_created_on,closed_at,opened_at,priority,state,assignment_group,assigned_to,problem_id'
    }
    incidents_raw = fetch_all_records(incident_url, headers, auth, incident_params)
    incidents_df = pd.DataFrame(incidents_raw)
    
    if incidents_df.empty:
        print(class="hl-string">"No incidents found for the given date range. Exiting.")
        exit()

    class=class="hl-string">"hl-comment"># Map sys_id to readable values for easier processing later
    for col in [class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'problem_id']:
        if col in incidents_df.columns:
            incidents_df[col] = incidents_df[col].apply(lambda x: x[class="hl-string">'display_value'] if isinstance(x, dict) and x else None)
            
    incident_sys_ids = class="hl-string">','.join(incidents_df[class="hl-string">'sys_id'].unique())

    class=class="hl-string">"hl-comment"># 2. Fetch Audit (sys_audit) Data for these incidents
    print(class="hl-string">"\n--- Fetching Audit Data ---")
    audit_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_audit"
    audit_query = fclass="hl-string">"documentkeyIN{incident_sys_ids}"
    audit_params = {
        class="hl-string">'sysparm_query': audit_query,
        class="hl-string">'sysparm_fields': class="hl-string">'documentkey,sys_created_on,fieldname,oldvalue,newvalue'
    }
    audit_raw = fetch_all_records(audit_url, headers, auth, audit_params)
    audit_df = pd.DataFrame(audit_raw)
    audit_df.rename(columns={class="hl-string">'documentkey': class="hl-string">'sys_id'}, inplace=True)

    class=class="hl-string">"hl-comment"># 3. Fetch Journal (comments) Data for these incidents
    print(class="hl-string">"\n--- Fetching Journal/Comment Data ---")
    journal_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_journal_field"
    journal_query = fclass="hl-string">"element_idIN{incident_sys_ids}^element=work_notes,comments"
    journal_params = {
        class="hl-string">'sysparm_query': journal_query,
        class="hl-string">'sysparm_fields': class="hl-string">'element_id,sys_created_on'
    }
    journal_raw = fetch_all_records(journal_url, headers, auth, journal_params)
    journal_df = pd.DataFrame(journal_raw)
    journal_df.rename(columns={class="hl-string">'element_id': class="hl-string">'sys_id'}, inplace=True)

    print(class="hl-string">"\n--- Processing Data and Generating Event Log ---")
    event_log_frames = []

    class=class="hl-string">"hl-comment"># Merge incident details into audit and journal logs for context
    incidents_context_df = incidents_df[[class="hl-string">'sys_id', class="hl-string">'number', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    incidents_context_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId'}, inplace=True)

    if not audit_df.empty:
        audit_df = pd.merge(audit_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')
    if not journal_df.empty:
        journal_df = pd.merge(journal_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')

    class=class="hl-string">"hl-comment"># Activity: Incident Created
    created_df = incidents_df[[class="hl-string">'number', class="hl-string">'sys_created_on', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    created_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Created'
    created_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'sys_created_on': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(created_df)

    class=class="hl-string">"hl-comment"># Activity: Incident Closed
    closed_df = incidents_df[incidents_df[class="hl-string">'closed_at'].notna() & (incidents_df[class="hl-string">'closed_at'] != class="hl-string">'')].copy()
    closed_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Closed'
    closed_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'closed_at': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(closed_df.drop(columns=[class="hl-string">'sys_created_on']))

    class=class="hl-string">"hl-comment"># Process audit data for remaining activities
    if not audit_df.empty:
        audit_df.sort_values(by=[class="hl-string">'sys_id', class="hl-string">'sys_created_on'], inplace=True)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Categorized (first change to category, subcategory, or priority)
        categorized_fields = [class="hl-string">'category', class="hl-string">'subcategory', class="hl-string">'priority']
        categorized_df = audit_df[audit_df[class="hl-string">'fieldname'].isin(categorized_fields)].copy()
        categorized_df = categorized_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        categorized_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Categorized'
        event_log_frames.append(categorized_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Group
        assign_group_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assignment_group') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_group_first_df = assign_group_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_group_first_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Group'
        event_log_frames.append(assign_group_first_df)
        
        class=class="hl-string">"hl-comment"># Activity: Assignment Group Changed (subsequent changes)
        assign_group_changed_df = assign_group_df.loc[assign_group_df.index.difference(assign_group_first_df.index)]
        assign_group_changed_df[class="hl-string">'ActivityName'] = class="hl-string">'Assignment Group Changed'
        event_log_frames.append(assign_group_changed_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Agent
        assign_agent_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assigned_to') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_agent_df = assign_agent_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_agent_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Agent'
        event_log_frames.append(assign_agent_df)

        class=class="hl-string">"hl-comment"># Activity: Work Started (State changed to In Progress)
        work_started_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: The class="hl-string">'newvalue' for state is often a numeric ID. Common value for class="hl-string">'In Progress' is class="hl-string">'2'. Adjust if needed.
        work_started_df = work_started_df[work_started_df[class="hl-string">'newvalue'].isin([class="hl-string">'2', class="hl-string">'In Progress', class="hl-string">'Work in Progress'])]
        work_started_df = work_started_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        work_started_df[class="hl-string">'ActivityName'] = class="hl-string">'Work Started'
        event_log_frames.append(work_started_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Escalated (Priority increases)
        priority_map = {class="hl-string">'1 - Critical': 1, class="hl-string">'2 - High': 2, class="hl-string">'3 - Moderate': 3, class="hl-string">'4 - Low': 4, class="hl-string">'5 - Planning': 5}
        escalated_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'priority'].copy()
        escalated_df[class="hl-string">'old_priority_val'] = escalated_df[class="hl-string">'oldvalue'].map(priority_map)
        escalated_df[class="hl-string">'new_priority_val'] = escalated_df[class="hl-string">'newvalue'].map(priority_map)
        escalated_df.dropna(subset=[class="hl-string">'old_priority_val', class="hl-string">'new_priority_val'], inplace=True)
        escalated_df = escalated_df[escalated_df[class="hl-string">'new_priority_val'] < escalated_df[class="hl-string">'old_priority_val']]
        escalated_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Escalated'
        event_log_frames.append(escalated_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Linked To Problem
        linked_problem_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'problem_id') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        linked_problem_df = linked_problem_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        linked_problem_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Linked To Problem'
        event_log_frames.append(linked_problem_df)
        
        class=class="hl-string">"hl-comment"># Activity: Resolution Proposed (State changed to Resolved)
        resolved_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: Common value for class="hl-string">'Resolved' is class="hl-string">'6'. Adjust if needed.
        resolved_df = resolved_df[resolved_df[class="hl-string">'newvalue'].isin([class="hl-string">'6', class="hl-string">'Resolved'])]
        resolved_df[class="hl-string">'ActivityName'] = class="hl-string">'Resolution Proposed'
        event_log_frames.append(resolved_df)
        
        class=class="hl-string">"hl-comment"># Activity: Awaiting User Confirmation (State changed to Awaiting User Info, after resolved)
        class=class="hl-string">"hl-comment"># This logic is complex and dependent on workflow. A simplified version is shown.
        state_changes = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        state_changes[class="hl-string">'prev_state'] = state_changes.groupby(class="hl-string">'sys_id')[class="hl-string">'oldvalue'].shift(-1)
        awaiting_df = state_changes[
            (state_changes[class="hl-string">'newvalue'].isin([class="hl-string">'Awaiting User Info', class="hl-string">'3'])) & 
            (state_changes[class="hl-string">'oldvalue'].isin([class="hl-string">'Resolved', class="hl-string">'6']))
        ].copy()
        awaiting_df[class="hl-string">'ActivityName'] = class="hl-string">'Awaiting User Confirmation'
        event_log_frames.append(awaiting_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Reopened
        reopened_df = audit_df[
            (audit_df[class="hl-string">'fieldname'] == class="hl-string">'state') & 
            (audit_df[class="hl-string">'oldvalue'].isin([class="hl-string">'6', class="hl-string">'7', class="hl-string">'Resolved', class="hl-string">'Closed']))
        ].copy()
        reopened_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Reopened'
        event_log_frames.append(reopened_df)
        
    class=class="hl-string">"hl-comment"># Activity: Support Comment Added
    if not journal_df.empty:
        comment_df = journal_df.copy()
        comment_df[class="hl-string">'ActivityName'] = class="hl-string">'Support Comment Added'
        event_log_frames.append(comment_df)

    class=class="hl-string">"hl-comment"># 4. Consolidate all event dataframes
    print(class="hl-string">"\n--- Consolidating Final Event Log ---")
    final_log = pd.DataFrame()
    for df in event_log_frames:
        if class="hl-string">'sys_created_on' in df.columns:
             df.rename(columns={class="hl-string">'sys_created_on': class="hl-string">'EventTime'}, inplace=True)
        if class="hl-string">'IncidentId' not in df.columns:
            continue class=class="hl-string">"hl-comment"># Skip frames that couldn't be processed
        
        common_cols = {
            class="hl-string">'IncidentId': None,
            class="hl-string">'ActivityName': None,
            class="hl-string">'EventTime': None,
            class="hl-string">'AssignedTo': None,
            class="hl-string">'AssignmentGroup': None,
            class="hl-string">'Priority': None,
            class="hl-string">'IncidentState': None
        }
        
        class=class="hl-string">"hl-comment"># Select and reorder columns, filling missing ones with None
        current_cols = {col: None for col in common_cols.keys()}
        df_subset = df[list(set(df.columns) & set(common_cols.keys()))].copy()
        final_log = pd.concat([final_log, df_subset], ignore_index=True)

    class=class="hl-string">"hl-comment"># 5. Final Cleaning and Formatting
    final_log.dropna(subset=[class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime'], inplace=True)
    final_log[class="hl-string">'EventTime'] = pd.to_datetime(final_log[class="hl-string">'EventTime'])
    final_log.sort_values(by=[class="hl-string">'IncidentId', class="hl-string">'EventTime'], inplace=True)
    
    final_log[class="hl-string">'SourceSystem'] = SOURCE_SYSTEM_NAME
    final_log[class="hl-string">'LastDataUpdate'] = last_data_update
    
    class=class="hl-string">"hl-comment"># Reorder columns to the desired format
    final_log = final_log[[
        class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime', class="hl-string">'SourceSystem', class="hl-string">'LastDataUpdate', 
        class="hl-string">'AssignedTo', class="hl-string">'AssignmentGroup', class="hl-string">'Priority', class="hl-string">'IncidentState'
    ]]

    class=class="hl-string">"hl-comment"># 6. Save to CSV
    output_filename = class="hl-string">'servicenow_incident_event_log.csv'
    final_log.to_csv(output_filename, index=False, date_format=class="hl-string">'%Y-%m-%dT%H:%M:%S.%f')
    print(fclass="hl-string">"\nSuccessfully extracted {len(final_log)} events for {final_log['IncidentId'].nunique()} incidents.")
    print(fclass="hl-string">"Event log saved to {output_filename}")

データテンプレート：インシデント管理

貴社のインシデント管理データテンプレート

インシデント管理属性

インシデント管理アクティビティ

抽出ガイド

ServiceNow Table REST APIによる直接抽出

ステップ

設定

a クエリ例 javascript

ServiceNow REST APIを使用したPythonスクリプトによるデータ抽出

ステップ

設定

a クエリ例 python

今すぐ始めますか？

インシデント解決を迅速化：ServiceNowの効率を今すぐ向上させましょう