> Continue verbetering > Incidentbeheer > ServiceNow Incidentbeheer > datatemplate

Je Incidentbeheer-datatemplate

ServiceNow Incidentbeheer

Incidentbeheer Attributen (19) Incidentbeheer Activities (13) Extractiegidsen (2)

Je Incidentbeheer-datatemplate

Deze template is een volledige gids voor het verzamelen van de data om je incidentmanagementproces te analyseren en te optimaliseren. Het beschrijft benodigde data attributen om te verzamelen, belangrijke activiteiten om te volgen en praktische begeleiding over hoe je deze Informatie uit je bronsysteem kunt extraheren. Gebruik dit hulpmiddel om een betrouwbare event log op te bouwen voor diepgaande procesanalyse en verbetering.

Aanbevolen attributen om vast te leggen
Belangrijkste activiteiten om te volgen
Extractiehandleiding voor ServiceNow Incidentbeheer

Nieuw met event logs? Leer hoe je een process mining event log creëert.

Template downloaden

Incidentbeheer Attributen

Dit zijn de aanbevolen velden om op te nemen in je event log voor een grondige analyse van je incidentbeheerproces.

5 Verplicht 4 Aanbevolen 10 Optioneel

	Naam	Omschrijving
	Activiteitsnaam ActivityName	De naam van de specifieke gebeurtenis of taak die op een bepaald tijdsTip plaatsvond binnen de levenscyclus van het incident.
Omschrijving De activiteitsnaam beschrijft een specifieke stap of statuswijziging in het incident management proces, zoals 'Incident Created', 'Assigned To Agent' of 'Incident Closed'. Deze gegevens zijn meestal gebaseerd op wijzigingen in belangrijke incidentvelden zoals State of Assignment Group, of van specifieke logboekvermeldingen. Dit attribuut is belangrijk voor het opbouwen van de proceskaart. Het definieert de stappen in de procesgraaf, waardoor analysesten de stroom van incidenten kunnen visualiseren, gemeenschappelijke paden kunnen vinden, knelpunten tussen activiteiten kunnen bekijken en procesvarianten kunnen analyseren. De granulariteit en nauwkeurigheid van deze activiteitsnamen zijn direct van invloed op de kwaliteit van de procesanalyse. Het belang Het definieert de stappen in de procesmap, wat de basis vormt voor alle Process Mining-analyse en visualisatie. Vindplaats Dit is een afgeleid attribuut, meestal gegenereerd door de datatransformatielogica op basis van wijzigingen in velden zoals state, assignment_group en assigned_to in de sys_audit of incident tables. Voorbeelden Incident AangemaaktToewijzingsgroep gewijzigdOplossing VoorgesteldIncident Gesloten
	Incident-ID IncidentId	Het unieke ID voor elk incidentrecord, die fungeert als de primary key voor het volgen van de gehele levenscyclus.
Omschrijving De Incident-ID is het unieke referentienummer dat wordt toegekend aan elk gemeld incident in ServiceNow. Het fungeert als de belangrijkste identificatienummer voor de case die alle gerelateerde activiteiten, updates en communicatie met elkaar verbindt, vanaf het moment dat een incident wordt aangemaakt totdat het wordt gesloten. Bij process mining-analyse is deze ID fundamenteel. Het stelt de tool in staat om de opeenvolging van gebeurtenissen voor elke individuele case samen te voegen, wat de basis vormt voor het bekijken van proceskaarten, het analyseren van varianten en het berekenen van totale doorlooptijden. Zonder een unieke Incident-ID voor elke case zou het onmogelijk zijn om de reis van een incident door het oplossingsproces te traceren. Het belang Dit is de essentiële Case-ID die alle gebeurtenissen in de levenscyclus van een incident met elkaar verbindt, waardoor end-to-end procesanalyse mogelijk worden. Vindplaats ServiceNow incident-tabel, veld number. Voorbeelden INC0010001INC0010045INC0010239
	TijdsTip Gebeurtenis EventTime	De precieze timestamp die aangeeft wanneer de activiteit plaatsvond.
Omschrijving Event Time, vaak bekend als de timestamp, registreert de exacte datum en tijd dat een activiteit werd voltooid of een statuswijziging plaatsvond. In ServiceNow wordt dit doorgaans vastgelegd in het sys_updated_on veld voor elke wijziging die in het audit trail wordt vastgelegd. Dit attribuut is belangrijk voor het correct ordenen van gebeurtenissen en voor alle tijdgebonden analyse. Het wordt gebruikt om doorlooptijden, wachttijden en de duur tussen activiteiten te berekenen, wat fundamenteel is voor het vinden van knelpunten, het meten van prestaties tegen SLA's en het begrijpen van procesefficiëntie. De nauwkeurigheid van deze tijdstempels is belangrijk voor de geldigheid van elke op duur gebaseerde metriek. Het belang Deze timestamp ordent alle activiteiten chronologisch en maakt de berekening mogelijk van alle duur-gebaseerde meetwaarden, zoals doorlooptijden en knelpunten. Vindplaats ServiceNow sys_audit-tabel, veld sys_created_on of het sys_updated_on veld uit de incident-tabel voor de laatste status. Voorbeelden 2023-04-15T10:05:21Z2023-04-15T11:22:00Z2023-04-16T09:00:30Z
	Bronsysteem SourceSystem	Het systeem waaruit deze data is opgehaald.
Omschrijving Dit attribuut identificeert de oorsprong van de incidentdata, wat in dit geval ServiceNow Incidentbeheer is. Het is meestal een statische waarde die je toevoegt tijdens het proces van data-extractie en -transformatie. In omgevingen waar data uit meerdere systemen kan worden gecombineerd voor analyse, is dit veld belangrijk voor data lineage en scheiding. Het helpt ervoor te zorgen dat meetwaarden en processen binnen de juiste context worden geanalyseerd en stelt analysesten in staat processen te vergelijken tussen verschillende bronsystemen. Het belang Het biedt belangrijke context over dataherkomst, wat data lineage waarborgt en correcte interpretatie in multi-systeemomgevingen mogelijk maakt. Vindplaats Dit is meestal een statische waarde die je toevoegt tijdens het data-extractieproces. Voorbeelden ServiceNow IncidentbeheerServiceNow
	Tijdstip van extractie LastDataUpdate	De timestamp die aangeeft wanneer de gegevens voor dit record het laatst zijn ververst vanuit het bronsysteem.
Omschrijving Dit attribuut registreert de datum en tijd van de meest recente data-extractie of update uit ServiceNow. Het is een metadata-veld dat de relevantie van de geanalyseerde data weergeeft, en geen gebeurtenis is in het proces zelf. Deze Informatie is belangrijk om de tijdigheid van de analyse te begrijpen. Het laat gebruikers zien hoe recent de data is, wat belangrijk is voor operationele dashboards en voor beslissingen gebaseerd op recente gebeurtenissen. Het helpt verwachtingen te managen over de relevantie en relevantie van de data. Het belang Het Informapakketmeert gebruikers over de relevantie van de data, wat belangrijk is voor de relevantie en nauwkeurigheid van de analyse. Vindplaats Deze timestamp wordt gegenereerd en gevuld door de data-extractie tool of het proces op het moment van de het laden van de data. Voorbeelden 2023-10-27T02:00:00Z2023-10-28T02:00:00Z
	Incidentstatus IncidentState	De huidige status van het incident in zijn levenscyclus.
Omschrijving De Incidentstatus geeft de huidige fase van het incident aan, zoals 'Nieuw', 'In Behandeling', 'In de wacht' of 'Opgelost'. Statuswijzigingen zijn vaak de primaire bron voor het genereren van activiteiten in het event log voor process mining. Het analyseren van de tijd die in elke status wordt doorgebracht, is een krachtige manier om knelpunten te vinden. Een lange duur in de status 'In de wacht' kan bijvoorbeeld duiden op afhankelijkheden van externe factoren of gebruikers. De opeenvolging van statuswijzigingen vormt ook de basis van de proceskaart, die laat zien hoe incidenten vorderen naar oplossing. Het belang Het volgt de voortgang van het incident en is belangrijk voor het analyseren van de tijd besteed in verschillende fases en het vinden van process knelpunten. Vindplaats ServiceNow incident-tabel, veld incident_state of state. Voorbeelden NieuwIn uitvoeringWachtend op GebruikersInformatieOpgelostGesloten
	Prioriteit Priority	Het prioriteitsniveau van het incident, dat de vereiste urgentie van de reactie bepaalt.
Omschrijving Priority is een belangrijk veld in ServiceNow dat de volgorde en snelheid voor de afhandeling van een incident bepaalt. Het wordt doorgaans afgeleid van de impact en urgentie van het incident, en beïnvloedt direct de SLA-doelstellingen. Dit attribuut is onmisbaar voor segmentatie en prestatieanalyse. Het 'SLA Compliance Overzicht' dashboard gebruikt Priority om te beoordelen of hoge prioriteit incidents binnen hun target times worden opgelost. Het analyseren van doorlooptijden per priority helpt bevestigen dat kritieke incidents inderdaad sneller worden verwerkt dan minder belangrijke. Het is een kritische dimensie voor bijna elke KPI en elk dashboard. Het belang Het maakt segmentatie van incidents mogelijk op basis van bedrijfskritische aard, wat belangrijk is voor het monitoren van SLA-compliance en het toewijzen van middelen. Vindplaats ServiceNow incident-tabel, veld priority. Voorbeelden 1 - Kritiek2 - Hoog3 - Gemiddeld4 - Laag
	Toegewezen aan AssignedTo	De individuele gebruiker of agent die momenteel is toegewezen aan het incident.
Omschrijving Dit attribuut identificeert de specifieke ondersteuningsagent die op een bepaald tijdsTip verantwoordelijk is voor het incident. Deze Informatie is belangrijk voor het begrijpen van werkdrukverdeling, agentprestaties en overdrachten tussen individuen. In analyse helpt 'Toegewezen aan' bij het visualiseren van toewijzing van middelen en het vinden van overbelaste medewerkers. Het wordt ook gebruikt in het dashboard 'Handoff en Reassignment' om bij te houden hoe vaak een incident van individuele eigenaar wisselt, wat een indicator kan zijn voor inefficiëntie of kennisleemtes. Het analyseren van oplossingstijden per agent kan ook best presterende medewerkers of degenen die aanvullende training nodig hebben, benadrukken. Het belang Het maakt analyse van agent workload, prestaties en individuele overdrachten mogelijk, wat belangrijk is voor het begrijpen van efficiënte inzet van middelen. Vindplaats ServiceNow incident-tabel, veld assigned_to. Voorbeelden Beth AnglinDavid LooHoward Johnson
	Toewijzingsgroep AssignmentGroup	Het ondersteuningsteam of de groep die verantwoordelijk is voor de afhandeling van het incident.
Omschrijving De Assignment Group vertegenwoordigt het team van agenten dat belast is met het oplossen van het incident. Incidenten worden vaak gerouteerd tussen verschillende groepen, zoals van een Level 1-helpdesk naar een gespecialiseerd Level 2-netwerkteam. Dit attribuut is belangrijk voor het analyseren van overdrachten tussen teams en het vinden van systemische knelpunten. Het dashboard 'Handoff and Reassignment Rate' is sterk afhankelijk van deze data om te laten zien welke teams vaak betrokken zijn bij overdrachten. Het maakt ook prestatievergelijkingen tussen verschillende supportgroepen mogelijk en helpt te begrijpen waar de oplossingsdeskundigheid binnen de organisatie ligt. Het belang Dit volgt welk team verantwoordelijk is, waardoor analyse van team prestaties, workload en overdrachten tussen groups mogelijk worden. Vindplaats ServiceNow incident-tabel, veld assignment_group. Voorbeelden `Service Desk`NetwerkondersteuningDatabasebeheerders
	Aantal Herindelingen ReassignmentCount	Het aantal keren dat het incident opnieuw is toegewezen aan een andere groep of agent.
Omschrijving Dit veld houdt het totale aantal keren bij dat een incident is overgedragen tussen verschillende assignment groups. Het is een directe maatstaf voor process friction en wordt vaak gebruikt als een belangrijke key prestaties indicator. Dit attribuut is de primaire motor voor het 'Handoff and Reassignment Rate' dashboard en de 'Average Handoffs per Incident' KPI. Een hoog aantal heroverdrachten duidt vaak op problemen zoals onjuiste initiële routering, gebrek aan vaardigheden in een support pakket, of onduidelijk process ownership. Het verminderen van dit aantal is een veelvoorkomend doel voor process improvement initiatives, aangezien het doorgaans leidt tot snellere oplostijden. Het belang Dit meet direct process overdrachten, een belangrijke indicator voor inefficiëntie, onjuiste routering en mogelijkheden voor verbetering. Vindplaats ServiceNow incident-tabel, veld reassignment_count. Voorbeelden 0135
	Categorie Category	De hoofdclassificatie van het incident, zoals Hardware, Software of Netwerk.
Omschrijving De Categorie biedt een brede classificatie van de aard van een incident. Dit, vaak in combinatie met een subcategorie, helpt bij het routeren van het incident naar het juiste ondersteuningsteam en wordt gebruikt voor rapportage en trendanalyse. Voor process mining is dit attribuut belangrijk voor de dashboards 'Nauwkeurigheid Incidentcategorisatie' en 'Volume Terugkerende Incidenten'. Door incidenten te analyseren waarbij de categorie tijdens het proces wordt gewijzigd, kunnen organisaties problemen met de initiële triage vinden. Het filteren van de proceskaart op categorie kan ook laten zien of bepaalde soorten incidenten verschillende afhandelingspaden volgen of unieke knelpunten ervaren. Het belang Het maakt analyse van incident types mogelijk, helpt bij het meten van de nauwkeurigheid van de categorisatie en is belangrijk voor routing en trend analysis. Vindplaats ServiceNow incident-tabel, veld category. Voorbeelden HardwareSoftwareNetwerkDatabase
	Configuratie-item ConfigurationItem	De specifieke IT-component, dienst of activum dat door het incident wordt beïnvloed.
Omschrijving Het Configuratie-item (CI) is de component uit de Configuration Management Database (CMDB) die door het incident wordt beïnvloed. Dit kan een server, applicatie, laptop of netwerkapparaat zijn. Het analyseren van incidenten per CI is uitermate waardevol voor het vinden van onbetrouwbare componenten of diensten. Het helpt bepalen welke delen van de IT-infrastructuur de meeste incidenten genereren, wat investeringen in upgrades of vervangingen kan sturen. Binnen process mining kan filteren op CI laten zien of incidenten gerelateerd aan kritieke applicaties anders of efficiënter worden afgehandeld dan andere. Het belang Het identificeert het getroffen asset, wat helpt bij het lokaliseren van problematische componenten in de IT-infrastructuur en het richten van verbeterinspanningen. Vindplaats ServiceNow incident-tabel, veld cmdb_ci. Voorbeelden SAP ERP ProductieOracle DB Server 05E-mailservice
	Ernst Severity	De mate van bedrijfsimpact veroorzaakt door het incident.
Omschrijving Severity definieert in welke mate een incident impact heeft op de bedrijfsactiviteiten. Samen met urgentie wordt het vaak gebruikt voor de automatische berekening van de priority van het incident. Bij analyse is severity een belangrijke dimensie voor het dashboard 'SLA Compliance Overzicht'. Het helpt organisaties te begrijpen of zij voldoen aan de serviceniveaus voor de meest ontwrichtende incidenten. Het biedt een bedrijfsgericht beeld van de prestaties, als aanvulling op het operationele beeld van priority. Het belang Het meet de zakelijke impact van een incident, wat een belangrijke dimensie biedt voor het prioriteren van inspanningen en het analyseren van prestaties bij kritieke problemen. Vindplaats ServiceNow incident-tabel, veld severity. Voorbeelden 1 - Hoog2 - Gemiddeld3 - Laag
	Is `SLA` Geschonden IsSlaBreached	Een indicator die aangeeft of de oplossing van het incident de SLA-deadline heeft overschreden.
Omschrijving Dit is een berekend boolean attribuut dat incidents markeert die hun Service Level Agreement hebben overtreden. Het wordt afgeleid door de daadwerkelijke oplostijdentamp te vergelijken met de 'SLA Due Date'. Als de resolution time na de due date ligt, wordt de flag ingesteld op true. Dit attribuut is de basis voor het 'SLA Compliance Overzicht' dashboard en gerelateerde KPI's. Het vereenvoudigt de analyse door een complexe tijdvergelijking om te zetten in een eenvoudige true/false dimension, waardoor het gemakkelijk wordt om alle overtreden incidents te filteren en hun gemeenschappelijke kenmerken te analyseren, zoals category, assignment group of priority. Het belang Het vereenvoudigt SLA-compliance-analyse, wat gemakkelijke filtering en gedetailleerde analyse mogelijk maakt van alle incidents die hun targets niet hebben gehaald. Vindplaats Berekend door de 'Opgelost At' timestamp te vergelijken met de 'SlaDueDate' timestamp. (Opgelost At > SlaDueDate). Voorbeelden truefalse
	Is Heropend IsReopened	Een indicator die aangeeft of een incident is heropend na te zijn opgelost.
Omschrijving Deze boolean-waarde wordt ingesteld op true als de state van een incident is teruggezet naar een actieve state (bijv. 'In Progress') nadat het eerder een 'Opgelost' of 'Closed' state had bereikt. Dit wordt doorgaans geïdentificeerd door te zoeken naar een 'Incident Reopened' activity in de event log. Heropende incidents zijn een sterke indicator van onvolledige of ineffectieve oplossingen. Het analyseren van deze cases helpt bij het vinden van vroegtijdige afsluitingen of terugkerende problemen die de eerste keer niet goed zijn opgelost. Een hoog heropeningspercentage kan een negatieve invloed hebben op de gebruikerstevredenheid en teamproductiviteit, waardoor dit een belangrijke metriek is voor kwaliteitscontrole. Het belang Deze flag identificeert storingen in het resolution process, waarbij incidents worden gemarkeerd die extra werk vereisten nadat ze als resolved waren beschouwd. Vindplaats Berekend door de reeks activiteiten voor elk incident te controleren om te zien of een 'open' status volgt op een 'opgelost' status. Voorbeelden truefalse
	Melder CallerId	De gebruiker die het incident oorspronkelijk heeft gemeld.
Omschrijving De Caller identificeert de eindgebruiker of klant die door het incident is getroffen en dit heeft gemeld. Deze Informatie biedt context over wie wordt beïnvloed door serviceverstoringen. Hoewel niet altijd centraal in de processtroom zelf, kan het analyseren van incidenten per caller zichtbaar maken of specifieke personen of afdelingen onevenredig worden getroffen door problemen. Dit kan wijzen op trainingsbehoeften of gelokaliseerde omgevingsproblemen. Het biedt ook een directe link naar de klant voor tevredenheidsonderzoeken en communicatie. Het belang Het identificeert de getroffen gebruiker, wat analyse per afdeling of individu mogelijk maakt en context biedt voor gebruikerscommunicatie. Vindplaats ServiceNow incident-tabel, veld caller_id. Voorbeelden Abel TuterCarolina PashDon Goodliffe
	Oplossingscode ResolutionCode	Een code die aangeeft hoe het incident uiteindelijk is opgelost.
Omschrijving De Oplossingscode specificeert de aard van de toegepaste oplossing, bijvoorbeeld of het probleem door een gebruiker is opgelost, door een bekende fout is verholpen, of dat er een workaround is geboden. Dit veld wordt doorgaans door de agent ingevuld bij het sluiten van het incident. Dit attribuut ondersteunt direct het dashboard 'Effectiviteit Oplossingstype'. Het maakt analyse mogelijk van hoeveel incidenten worden gesloten met permanente oplossingen versus tijdelijke workarounds, wat een belangrijke indicator is voor servicekwaliteit en langetermijnstabiliteit. Een hoog percentage workarounds kan suggereren dat onderliggende problemen niet adequaat worden aangepakt. Het belang Het verduidelijkt de oplossingsmethode, waardoor analyse van permanente oplossingen versus tijdelijke workarounds mogelijk wordt en oorzaakanalyse wordt ondersteund. Vindplaats ServiceNow incident-tabel, veld close_code of een aangepast oplossingscodeveld. Voorbeelden Opgelost (Workaround)Opgelost (Permanent)Niet opgelost (gebruiker geannuleerd)Known Error
	Problem ID ProblemId	De ID van het gekoppelde Probleemrecord als het incident is gekoppeld aan een groter probleem.
Omschrijving De Problem ID koppelt een incident aan een corresponderend record in de module voor Probleembeheer. Dit gebeurt wanneer een incident wordt geïdentificeerd als een symptoom van een groter, onderliggend probleem dat meerdere gebruikers of diensten beïnvloedt. Deze koppeling is belangrijk voor het dashboard 'Volume Terugkerende Incidenten' en de KPI 'Percentage Terugkerende Incidenten'. Het stelt analysesten in staat incidenten te groeperen die voortkomen uit dezelfde grondoorzaak, de volledige impact van een probleem te meten en de effectiviteit van inspanningen voor probleemoplossing te volgen. Een groot aantal incidenten gekoppeld aan problemen duidt op een reactieve ondersteuningsomgeving. Het belang Het koppelt incidents aan een root cause, wat belangrijk is voor het analyseren van terugkerende problemen en het meten van de impact van problem management. Vindplaats ServiceNow incident-tabel, veld problem_id. Voorbeelden PRB0040001PRB0040015PRB0040102
	SLA Einddatum SlaDueDate	De streefdatum en -tijd waarop het incident naar verwachting is opgelost volgens de SLA.
Omschrijving De SLA Due Date is een berekende timestamp die de deadline voor oplossing van een incident weergeeft. Deze datum wordt bepaald door de Service Level Agreement (SLA) die is gekoppeld aan de kenmerken van het incident, zoals de prioriteit. Dit attribuut is belangrijk voor het dashboard 'SLA Compliance Overzicht' en de KPI 'Overtredingspercentage Kritieke Incident SLA'. Het dient als benchmark waartegen de werkelijke oplossingstijd wordt vergeleken. Het analyseren van incidenten die de SLA Due Date naderen, kan helpen bij proactieve escalatie en prioritering. Het belang Het definieert het oplossingsdoel, waardoor het mogelijk is om SLA-compliance te meten en incidents te vinden die het risico lopen hun targets te overschrijden. Vindplaats Deze waarde wordt doorgaans gevonden in de taak_sla table, die gerelateerd is aan de incident table. Het planned_end_time veld is de relevante timestamp. Voorbeelden 2023-05-20T17:00:00Z2023-06-01T09:00:00Z

Verplicht Aanbevolen Optioneel

Incidentbeheer Activities

Dit zijn de belangrijkste processtappen en mijlpalen die je in je event log moet vastleggen voor accurate process discovery en optimalisatie.

6 Aanbevolen 7 Optioneel

	Activiteit	Omschrijving
	Incident Aangemaakt	Markeert het begin van de incident levenscyclus wanneer een nieuw incident formeel wordt vastgelegd in ServiceNow. Deze gebeurtenis wordt expliciet vastgelegd met behulp van de aanmaak timestamp van de incident record.
Het belang Dit is het primaire start gebeurtenis voor het proces. Het analyseren van de tijd vanaf deze activity tot resolution is onmisbaar voor het meten van de algehele doorlooptijd en SLA-compliance. Vindplaats De timestamp sys_created_on op de incident-tabel dient als de expliciete gebeurtenis timestamp voor deze activiteit. Vastleggen Gebruik de 'sys_created_on' timestamp uit de incident record. Gebeurtenistype explicit
	Incident Gesloten	Dit is de laatste activity in de levenscyclus, wat aangeeft dat het incident volledig is opgelost, bevestigd en dat verdere actie niet nodig is. Het gebeurtenis wordt expliciet vastgelegd via de closure timestamp.
Het belang Als definitieve eindgebeurtenis is deze activiteit belangrijk voor het berekenen van de totale duur van de incidentlevenscyclus en het analyseren van de benodigde tijd voor de verwerking na de oplossing. Vindplaats De timestamp closed_at op de incident-tabel dient als de expliciete gebeurtenis timestamp voor deze activiteit. Dit wordt doorgaans ingesteld wanneer het state-veld wijzigt naar Closed. Vastleggen Gebruik de 'closed_at' timestamp uit de incident record. Gebeurtenistype explicit
	Incident toegewezen aan groep	Deze activiteit vindt plaats wanneer een incident wordt toegewezen aan een specifieke ondersteuningsgroep voor afhandeling. Het is een belangrijke stap in het routeringsproces en wordt vastgelegd door wijzigingen in het toewijzingsgroepveld te observeren.
Het belang Het volgen van assignments is belangrijk voor het analyseren van overdrachten, queue times voor elke group en het vinden van routing inefficiencies of knelpunten. Vindplaats Afgeleid uit de 'sys_audit'-tabel door te volgen wanneer het 'assignment_group'-veld in de 'incident'-tabel wordt gevuld of gewijzigd. Vastleggen Gebruik de timestamp uit de auditlog voor wijzigingen in het 'assignment_group' veld. Gebeurtenistype inferred
	Oplossing Voorgesteld	Markeert het punt waarop een support agent een oplossing heeft geïmplementeerd en het incident naar een 'Opgelost' status heeft verplaatst. Dit is een belangrijke mijlpaal voorafgaand aan de uiteindelijke afsluiting.
Het belang Deze activiteit markeert het einde van actieve werkzaamheden en het begin van de bevestigingsfase. De tijd tussen deze activiteit en 'Incident Gesloten' kan vertragingen in gebruikersbevestiging of verificatie zichtbaar maken. Vindplaats Afgeleid uit de 'sys_audit'-tabel wanneer het 'state'-veld in de 'incident'-tabel verandert naar 'Opgelost'. De 'resolved_at' timestamp wordt vaak op dat moment gevuld. Vastleggen Gebruik de timestamp wanneer het 'state' veld 'Opgelost' wordt of de 'resolved_at' timestamp. Gebeurtenistype inferred
	Toewijzingsgroep gewijzigd	Vertegenwoordigt een overdracht waarbij een incident van de ene supportgroep naar de andere wordt overgedragen. Dit wordt vastgelegd door opeenvolgende wijzigingen in het veld assignment_group te observeren na de initiële invulling.
Het belang Frequente heroverdrachten kunnen duiden op onjuiste initiële routering, procescomplexiteit of kennisleemtes. Deze activiteit is belangrijk voor het meten van de KPI 'Gemiddeld aantal overdrachten per incident'. Vindplaats Afgeleid uit de 'sys_audit'-tabel door elke wijziging aan het 'assignment_group'-veld na de initiële toewijzing te volgen. Vastleggen Identificeer elke timestamped wijziging in het veld 'assignment_group' in het auditlog. Gebeurtenistype inferred
	Werk gestart	Geeft aan dat een agent actief is begonnen met het onderzoeken of werken aan het incident. Dit wordt doorgaans afgeleid wanneer de state van het incident verandert van 'New' of 'Assigned' naar een actieve state zoals 'In Progress'.
Het belang Deze mijlpaal markeert het einde van de initiële queue time en het begin van actieve resolution efforts. Het meten van de tijd totdat het werk begint, is belangrijk voor bottleneck analysis. Vindplaats Afgeleid uit de 'sys_audit'-tabel door te vinden wanneer het 'state'-veld in de 'incident'-tabel verandert naar een waarde die actief werk vertegenwoordigt, zoals 'In Progress'. Vastleggen Identificeer de timestamp wanneer het veld 'state' verandert naar 'In Progress' of een soortgelijke waarde. Gebeurtenistype inferred
	Incident Gecategoriseerd	Vertegenwoordigt de initiële classificatie van het incident, waarbij velden zoals Category, Subcategory en Priority worden ingesteld. Dit gebeurtenis wordt doorgaans afgeleid uit het audit trail wanneer deze velden voor het eerst worden ingevuld of kort na de aanmaak worden bijgewerkt.
Het belang Nauwkeurige categorisatie is belangrijk voor de juiste routering en prioritering. Het volgen van deze activity helpt bij het analyseren van hercategorisatiesnelheden en hun impact op de oplostijd. Vindplaats Afgeleid uit de 'sys_audit'-tabel door de eerste wijziging aan velden zoals 'category', 'subcategory' of 'priority' voor een gegeven incident te vinden. Vastleggen Identificeer de timestamp van de eerste update van classificatievelden in het auditlog. Gebeurtenistype inferred
	Incident Geëscaleerd	Treedt op wanneer de prioriteit of urgentie van een incident wordt verhoogd, wat vaak een snellere respons of andere middelen vereist. Dit wordt afgeleid door een opwaartse wijziging in de waarde van het 'priority'-veld te detecteren.
Het belang Escalaties duiden er vaak op dat een incident ernstiger is dan aanvankelijk gedacht, of dat een SLA-schending nadert. Het analyseren van deze gebeurtenissen helpt bij het begrijpen van procesafwijkingen. Vindplaats Afgeleid uit de 'sys_audit'-tabel door een wijziging in het 'priority'-veld naar een waarde met hogere urgentie te vinden. Vastleggen Detecteer wanneer de waarde van het 'priority'-veld toeneemt (bijv. van '3 - Gemiddeld' naar '2 - High'). Gebeurtenistype inferred
	Incident gekoppeld aan probleem	Deze activiteit vindt plaats wanneer een incident formeel wordt gekoppeld aan een probleemrecord, wat aangeeft dat het deel uitmaakt van een groter, onderliggend probleem. Dit wordt afgeleid wanneer het veld 'problem_id' op het incidentrecord wordt gevuld.
Het belang Koppeling aan een problem is een belangrijke stap in de overgang van reactieve incident oplossingen naar proactieve oorzaakanalyse. Het ondersteunt het 'Recurring Incident Volume' dashboard. Vindplaats Afgeleid door te detecteren wanneer het referentieveld 'problem_id' in de 'incident'-tabel wordt gevuld met een waarde. Vastleggen Identificeer de timestamp uit het auditlog wanneer het veld 'problem_id' is gevuld. Gebeurtenistype inferred
	Incident heropend	Treedt op wanneer een gebruiker meldt dat het probleem aanhoudt nadat het als 'Opgelost' was gemarkeerd. Dit wordt afgeleid wanneer de incident state verschuift van 'Opgelost' terug naar een actieve status zoals 'In Progress'.
Het belang Heropende incidenten duiden op mislukte oplossingen en vertegenwoordigen herstelwerk. Het bijhouden van deze activiteit is belangrijk voor het meten van de oplossingskwaliteit en first-time fix rates. Vindplaats Afgeleid uit de 'sys_audit'-tabel door een 'state'-veldovergang van 'Opgelost' terug naar een actieve status, zoals 'In Progress' of 'Assigned', te detecteren. Vastleggen Identificeer timestamp wanneer 'state' van 'Opgelost' naar een actieve waarde overgaat. Gebeurtenistype inferred
	Incident toegewezen aan agent	Vertegenwoordigt het punt waarop een specifieke agent binnen een supportgroep het eigenaarschap van het incident overneemt. Dit wordt vastgelegd door wijzigingen in het veld assigned_to te monitoren.
Het belang Dit biedt een granular view van de agent workload en first-contact resolution. Het helpt bepalen hoe lang incidents wachten voordat een individu begint met werken nadat ze aan een group zijn toegewezen. Vindplaats Afgeleid uit de 'sys_audit'-tabel door te volgen wanneer het 'assigned_to'-veld in de 'incident'-tabel wordt gevuld of gewijzigd. Vastleggen Gebruik de timestamp uit de auditlog voor wijzigingen in het 'assigned_to' veld. Gebeurtenistype inferred
	Supportcommentaar Toegevoegd	Een support agent voegt een work note of een opmerking toe die zichtbaar is voor de gebruiker. Dit is een expliciete gebeurtenis die wordt vastgelegd in de activity stream van het incident.
Het belang Volgt communicatie- en onderzoeksinspanningen door het support team. Het analyseren van de frequentie en timing van deze comments geeft inzicht in het onderzoeksproces. Vindplaats Vastgelegd uit de 'sys_journal_veld' tabel, die vermeldingen logt voor de 'work_notes' en 'comments' velden op de 'incident' tabel. Vastleggen Gebruik de aanmaak timestamp van journal entries waarbij het element 'work_notes' of 'comments' is. Gebeurtenistype explicit
	Wacht op Gebruikersbevestiging	Het incident bevindt zich in een afwachtende status, wachtend op de gebruiker om te bevestigen dat de voorgestelde oplossing succesvol was. Dit wordt doorgaans afgeleid uit een specifieke status zoals 'Wachten op gebruikersInformatie' nadat het incident is opgelost.
Het belang Deze state kan een aanzienlijke bottleneck zijn als gebruikers traag reageren. Het meten van de tijd die in deze activity wordt doorgebracht, helpt communicatiekloven en mogelijkheden om closure te automatiseren te vinden. Vindplaats Afgeleid uit de 'sys_audit'-tabel door een wijziging naar een specifieke wachtstatus na resolutie te vinden. De statusnaam kan aangepast zijn, zoals 'Awaiting Caller'. Vastleggen Identificeer timestamp wanneer 'state' verandert naar een waarde die wachten op gebruikersinvoer aangeeft. Gebeurtenistype inferred

Aanbevolen Optioneel

Extractiegidsen

Hoe je je data uit ServiceNow Incidentbeheer krijgt

Stappen

ServiceNow Toegang Instellen: Verkrijg inloggegevens voor een serviceaccount in ServiceNow. Dit account moet leesrechten (ACL's) hebben voor de incident-tabel, de sys_audit-tabel, en alle vereiste velden, waaronder sys_id, number, sys_created_on, resolved_at, closed_at, assignment_group, assigned_to, priority, incident_state, state, category, subcategory, problem_id, comments, en work_notes.
Node.js Omgeving Configureren: Zorg ervoor dat Node.js is geïnstalleerd op de machine die het extractiescript zal uitvoeren. Installeer de axios-bibliotheek voor het maken van HTTP-verzoeken door npm install axios uit te voeren in je terminal.
Extractiescript Voorbereiden: Kopieer de meegeleverde JavaScript-code naar een bestand, bijvoorbeeld extract_incidents.js. Vul bovenaan het script de placeholderwaarden in voor de URL van je ServiceNow-instantie, gebruikersnaam en wachtwoord.
Extractieparameters Definiëren: Pas de variabelen startDate en endDate in het script aan om de tijdsperiode te definiëren voor de incidents die je wilt extraheren. Voor initiële uitvoeringen wordt aanbevolen een klein datumbereik te gebruiken, zoals één week, om de resultaten te bevestigen.
Script Uitvoeren: Voer het script uit vanuit je terminal met het commando node extract_incidents.js. Het script zal beginnen met het ophalen van incidentdata en de bijbehorende auditlogs via de ServiceNow API.
Scriptvoortgang Monitoren: Het script zal de voortgang loggen naar de console en tonen hoeveel incidents zijn verwerkt. Houd er rekening mee dat dit proces voor grote datasets aanzienlijk veel tijd kan kosten vanwege het aantal benodigde API calls.
API Reacties Processen: Het script doorloopt programmatisch elke incident. Voor elke incident bevraagt het de sys_audit-tabel om de volledige wijzigingsgeschiedenis op te halen. Vervolgens verwerkt het deze geschiedenis om de 13 vereiste activiteiten te vinden en te voorzien van een timestamp.
Afgeleide Activities Processen: Het script bevat logica om activiteiten af te leiden uit veldwijzigingen. Bijvoorbeeld, 'Incident Escalated' wordt gecreëerd wanneer de nieuwe waarde van het priority-veld lager is (wat een hogere prioriteit aangeeft) dan de oude waarde. 'Work Started' wordt geïdentificeerd door de eerste statuswijziging naar 'In Progress'.
Event Log Structureren: Zodra activiteiten zijn geïdentificeerd, worden deze geformatteerd tot gebeurtenislogrecords, waarbij elk record de vereiste kolommen bevat: IncidentId, ActiviteitNaam, EventTime, en andere.
Output Opslaan: Zodra het script is voltooid, wordt de gegenereerde event log opgeslagen als een JSON-bestand met de naam servicenow_incident_gebeurtenis_log.json in dezelfde map. Dit bestand bevat een array van alle opgehaalde gebeurtenissen.
Converteren naar CSV: Voor upload naar ProcessMind moet je mogelijk de uiteindelijke JSON-output converteren naar een CSV-bestand. Gebruik een standaard data tool of een eenvoudig script om de JSON array om te zetten in een tabellair CSV-formaat, zodat de kolomheaders overeenkomen met de vereiste attributen.

Configuratie

API Endpoint: Het script maakt gebruik van twee primaire ServiceNow Table API-endpoints:
- https://[Your ServiceNow Instance].service-now.com/api/now/table/incident
- https://[Your ServiceNow Instance].service-now.com/api/now/table/sys_audit
Authenticatie: Het meegeleverde script gebruikt Basic Authentication (gebruikersnaam en wachtwoord). Zorg ervoor dat de credentials van het serviceaccount correct zijn en het account actief is.
Datumfilter: De query filtert op de aanmaakdatum van het incident (sys_created_on). Dit wordt geconfigureerd via de startDate- en endDate-variabelen in het script. Het wordt aanbevolen om 3 tot 6 maanden aan data te extraheren voor een zinvolle analyse, maar begin met een kortere periode voor tests.
Belangrijke Queryparameters:
- sysparm_query: Wordt gebruikt om records te filteren. Het script construeert een gecodeerde query string om incidenten te filteren op aanmaakdatum.
- sysparm_velden: Specificeert welke kolommen moeten worden opgehaald, wat de API payload size vermindert en de prestaties verbetert.
- sysparm_limit: Regelt paginering door het aantal records per verzoek te definiëren. Het script gebruikt een limiet van 1000, wat een gangbare praktijk is.
- sysparm_offset: Wordt gebruikt in combinatie met sysparm_limit om volgende pagina's met data op te halen.
Prestatieoverwegingen: Het bevragen van de sys_audit tabel voor elk incident is bron-intensief. Voor zeer grote ServiceNow-instanties kun je overwegen de extractie buiten piekuren uit te voeren. Het script verwerkt incidenten volgordeel om de API niet te overbelasten, maar dit kan de totale uitvoeringstijd verlengen.
Verplichten: Een Node.js-omgeving is vereist om het script uit te voeren. De gebruiker of het serviceaccount dat de extractie uitvoert, moet de benodigde leesrechten (ACL's) hebben op de incident- en sys_audit-tabellen.

a Voorbeeldquery javascript

const axios = require('axios');
const fs = require('fs');

// --- Configuration ---
const INSTANCE_URL = 'https://[your-instance].service-now.com';
const USERNAME = '[your-username]';
const PASSWORD = '[your-password]';

// Define the date range for the extraction
const startDate = '2023-01-01 00:00:00';
const endDate = '2023-03-31 23:59:59';

const BATCH_SIZE = 1000; // Records per API call for incidents
const SOURCE_SYSTEM = 'ServiceNow';

// --- Main Extraction Logic ---
async function extractIncidentData() {
    const auth = { username: USERNAME, password: PASSWORD };
    const allEvents = [];
    let offset = 0;
    let hasMoreRecords = true;

    console.log(`Starting extraction for incidents created between ${startDate} and ${endDate}...`);

    while (hasMoreRecords) {
        try {
            // 1. Fetch a batch of incidents
            const incidentQuery = `sys_created_on>=${startDate}^sys_created_on<=${endDate}`;
            const incidentFields = [
                'sys_id', 'number', 'sys_created_on', 'resolved_at', 'closed_at',
                'assigned_to', 'assignment_group', 'priority', 'incident_state',
                'state', 'sys_updated_on'
            ].join(',');

            console.log(`Fetching incidents, offset: ${offset}...`);
            const incidentResponse = await axios.get(`${INSTANCE_URL}/api/now/table/incident`, {
                auth,
                params: {
                    sysparm_query: incidentQuery,
                    sysparm_fields: incidentFields,
                    sysparm_limit: BATCH_SIZE,
                    sysparm_offset: offset
                }
            });

            const incidents = incidentResponse.data.result;
            if (incidents.length === 0) {
                hasMoreRecords = false;
                continue;
            }

            // 2. For each incident, fetch its audit trail and generate events
            for (const incident of incidents) {
                const lastDataUpdate = new Date().toISOString();

                // --- Explicit Events from Incident Table ---
                allEvents.push(createEvent(incident, 'Incident Created', incident.sys_created_on, lastDataUpdate));
                if (incident.resolved_at) {
                    allEvents.push(createEvent(incident, 'Resolution Proposed', incident.resolved_at, lastDataUpdate));
                }
                if (incident.closed_at) {
                    allEvents.push(createEvent(incident, 'Incident Closed', incident.closed_at, lastDataUpdate));
                }

                // --- Inferred Events from Audit Table ---
                const auditQuery = `documentkey=${incident.sys_id}`;
                const auditFields = 'sys_created_on,fieldname,oldvalue,newvalue';
                const auditResponse = await axios.get(`${INSTANCE_URL}/api/now/table/sys_audit`, {
                    auth,
                    params: { sysparm_query: auditQuery, sysparm_fields: auditFields, sysparm_display_value: 'true' }
                });

                const auditRecords = auditResponse.data.result.sort((a, b) => new Date(a.sys_created_on) - new Date(b.sys_created_on));
                
                let isCategorized = false, isGroupAssigned = false, isAgentAssigned = false, isWorkStarted = false, isProblemLinked = false, isReopened = false;
                let lastPriority = null;
                
                for (const audit of auditRecords) {
                    const eventTime = audit.sys_created_on;
                    
                    if (!isCategorized && (audit.fieldname === 'category' || audit.fieldname === 'subcategory') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Categorized', eventTime, lastDataUpdate));
                        isCategorized = true;
                    }
                    if (!isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Group', eventTime, lastDataUpdate));
                        isGroupAssigned = true;
                    } else if (isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Assignment Group Changed', eventTime, lastDataUpdate));
                    }
                    if (!isAgentAssigned && audit.fieldname === 'assigned_to' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Agent', eventTime, lastDataUpdate));
                        isAgentAssigned = true;
                    }
                    if (!isWorkStarted && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Work Started', eventTime, lastDataUpdate));
                        isWorkStarted = true;
                    }
                    if ((audit.fieldname === 'comments' || audit.fieldname === 'work_notes') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Support Comment Added', eventTime, lastDataUpdate));
                    }
                    if (audit.fieldname === 'priority') {
                         const oldPriorityVal = parseInt(audit.oldvalue.match(/\d+/), 10);
                         const newPriorityVal = parseInt(audit.newvalue.match(/\d+/), 10);
                         if (lastPriority !== null && newPriorityVal < lastPriority) {
                             allEvents.push(createEvent(incident, 'Incident Escalated', eventTime, lastDataUpdate));
                         }
                         lastPriority = newPriorityVal;
                    }
                    if (!isProblemLinked && audit.fieldname === 'problem_id' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Linked To Problem', eventTime, lastDataUpdate));
                        isProblemLinked = true;
                    }
                    if ((audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('awaiting')) {
                         allEvents.push(createEvent(incident, 'Awaiting User Confirmation', eventTime, lastDataUpdate));
                    }
                    if (!isReopened && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && (audit.oldvalue.toLowerCase().includes('resolved') || audit.oldvalue.toLowerCase().includes('closed')) && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Incident Reopened', eventTime, lastDataUpdate));
                        isReopened = true; 
                    }
                }
            }

            offset += BATCH_SIZE;
            console.log(`Processed ${incidents.length} incidents. Total events so far: ${allEvents.length}`);

        } catch (error) {
            console.error('An error occurred:', error.response ? error.response.data : error.message);
            hasMoreRecords = false; // Stop on error
        }
    }

    // 3. Save results to a file
    fs.writeFileSync('servicenow_incident_event_log.json', JSON.stringify(allEvents, null, 2));
    console.log(`Extraction complete. ${allEvents.length} events saved to servicenow_incident_event_log.json`);
}

// --- Helper Function to create a standard event object ---
function createEvent(incident, activityName, eventTime, lastDataUpdate) {
    return {
        IncidentId: incident.number,
        ActivityName: activityName,
        EventTime: eventTime,
        SourceSystem: SOURCE_SYSTEM,
        LastDataUpdate: lastDataUpdate,
        AssignedTo: incident.assigned_to.display_value || '',
        AssignmentGroup: incident.assignment_group.display_value || '',
        Priority: incident.priority.display_value || '',
        IncidentState: incident.incident_state.display_value || incident.state.display_value || ''
    };
}

// --- Run the script ---
extractIncidentData();

Stappen

Voorwaarden: Zorg ervoor dat Python 3.6+ op je systeem is geïnstalleerd. Installeer de benodigde bibliotheken met pip: pip install requests pandas.
ServiceNow Configuratie: Maak in ServiceNow een speciale serviceaccount aan voor deze extractie. Geef deze gebruiker de rollen itil en rest_api_explorer om ervoor te zorgen dat deze leesrechten heeft voor de benodigde tabellen (incident, sys_audit, sys_journal_veld).
Script Configureren: Open het meegeleverde Python-script. Zoek bovenaan het configuratiegedeelte en vervang de placeholderwaarden voor SNOW_INSTANCE, SNOW_USER en SNOW_PASSWORD door de URL van je ServiceNow-instantie en de inloggegevens van de serviceaccount. Pas de START_DATE en END_DATE aan om de gewenste extractieperiode te definiëren.
Script Uitvoeren: Voer het script uit vanaf je opdrachtregel met python your_script_name.py. Het script zal authenticeren met ServiceNow en API-aanroepen doen.
Data Ophalen: Het script haalt eerst een lijst op van alle incidents die binnen de opgegeven periode zijn aangemaakt vanuit de incident-tabel. Vervolgens gebruikt het deze lijst met incident-ID's om alle gerelateerde auditgeschiedenis van sys_audit en alle opmerkingen van sys_journal_veld op te halen.
Event Log Generatie: Het script verwerkt de ruwe data in het geheugen. Het doorloopt de vooraf gedefinieerde activiteiten en genereert voor elk een aparte set rijen. Het identificeert bijvoorbeeld de 'Incident Created' gebeurtenis uit het sys_created_on veld en de 'Incident Closed' gebeurtenis uit het closed_at veld. Voor andere gebeurtenissen analyseert het de auditlog om statusovergangen, veldwijzigingen en escalaties te bepalen.
Attribuut Mapping: Voor elke gegenereerde gebeurtenisrij voert het script een lookup uit om deze te verrijken met contextuele attributen uit het hoofdincidentrecord, zoals de AssignmentGroup, AssignedTo, Priority en IncidentState op het moment van de gebeurtenis.
Data Consolidatie: Alle individuele gebeurtenis DataFrames (één voor elk activity type) worden gecombineerd tot één enkele, volledige event log DataFrame.
Finale Transformatie: Het geconsolideerde DataFrame wordt gesorteerd op IncidentId en EventTime om de juiste chronologische volgorde van gebeurtenissen voor elke case te waarborgen. De Bronsysteem en LastDataUpdate kolommen worden toegevoegd met statische waarden.
Exporteren naar CSV: De uiteindelijke event log wordt opgeslagen als servicenow_incident_gebeurtenis_log.csv in dezelfde map waar het script is uitgevoerd. Dit bestand is klaar voor upload naar process mining software.

Configuratie

ServiceNow Instance (SNOW_INSTANCE): De volledige URL van je ServiceNow-instantie, bijvoorbeeld, https://yourcompany.service-now.com.
Credentials (SNOW_USER, SNOW_PASSWORD): Authenticatiegegevens voor het serviceaccount. Voor productieomgevingen kun je overwegen OAuth of token-gebaseerde het inloggen te gebruiken in plaats van basishet inloggen.
Datumbereik (START_DATE, END_DATE): Definieert het tijdsvenster voor de extractie, gebaseerd op de aanmaakdatum van het incident. Een bereik van 3-6 maanden wordt aanbevolen voor een initiële analyse, om een goede balans te vinden tussen het datavolume en de diepgang van de inzichten. Grotere bereiken zullen de extractietijd aanzienlijk verlengen.
API Queryparameters (sysparm_query): Het script gebruikt een sysparm_query om incidenten te filteren op hun aanmaakdatum (sys_created_on). Je kunt hier meer voorwaarden toevoegen om de reikwijdte te verfijnen, bijvoorbeeld active=false^company=[Your Company Sys ID] om alleen gesloten incidenten voor een specifiek bedrijf te extraheren.
API Rate Limiting: Houd rekening met de API rate limits van ServiceNow. Het script verwerkt paginering, maar bevat geen expliciete rate limit-afhandeling. Voor zeer grote instanties moet je mogelijk time.sleep()-aanroepen toevoegen tussen verzoeken om overschrijding van limieten te voorkomen.
Verplichte Rechten: De gespecificeerde gebruiker moet leesrechten (ACL's) hebben tot de incident-, sys_audit- en sys_journal_veld-tabellen. De itil-rol biedt dit doorgaans, maar je instantie kan aangepaste toegangscontroles hebben.

a Voorbeeldquery python

import requests
import pandas as pd
from datetime import datetime
import getpass

class=class="hl-string">"hl-comment"># --- Configuration ---
class=class="hl-string">"hl-comment"># Replace with your ServiceNow instance URL, e.g., class="hl-string">'https://yourinstance.service-now.com'
SNOW_INSTANCE = class="hl-string">"[Your ServiceNow Instance URL]"
class=class="hl-string">"hl-comment"># Replace with your ServiceNow user. Consider using a dedicated service account.
SNOW_USER = class="hl-string">"[Your Username]"
class=class="hl-string">"hl-comment"># It's recommended to use a secure way to handle passwords, like environment variables or a secrets manager.
class=class="hl-string">"hl-comment"># getpass is used here for interactive entry to avoid hardcoding.
SNOW_PASSWORD = getpass.getpass(class="hl-string">"Enter ServiceNow Password: ")

class=class="hl-string">"hl-comment"># Define the date range for the extraction (YYYY-MM-DD format)
START_DATE = class="hl-string">"2023-01-01"
END_DATE = class="hl-string">"2023-06-30"

SOURCE_SYSTEM_NAME = class="hl-string">"ServiceNow"

class=class="hl-string">"hl-comment"># --- Helper Function for Paginated API Calls ---
def fetch_all_records(url, headers, params):
    class="hl-string">"""Fetches all records from a paginated ServiceNow API endpoint."""
    all_records = []
    offset = 0
    limit = 1000
    while True:
        params[class="hl-string">'sysparm_offset'] = offset
        params[class="hl-string">'sysparm_limit'] = limit
        response = requests.get(url, headers=headers, params=params)
        response.raise_for_status() class=class="hl-string">"hl-comment"># Raises an exception for bad status codes
        data = response.json().get(class="hl-string">'result', [])
        if not data:
            break
        all_records.extend(data)
        offset += len(data)
        print(fclass="hl-string">"Fetched {len(all_records)} records so far...")
    return all_records

class=class="hl-string">"hl-comment"># --- Main Script ---
if __name__ == class="hl-string">"__main__":
    auth = (SNOW_USER, SNOW_PASSWORD)
    headers = {class="hl-string">"Accept": class="hl-string">"application/json"}
    last_data_update = datetime.utcnow().isoformat() + class="hl-string">"Z"

    class=class="hl-string">"hl-comment"># 1. Fetch base Incident Data
    print(class="hl-string">"\n--- Fetching Incident Data ---")
    incident_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/incident"
    incident_query = fclass="hl-string">"sys_created_on>={START_DATE} 00:00:00^sys_created_on<={END_DATE} 23:59:59"
    incident_params = {
        class="hl-string">'sysparm_query': incident_query,
        class="hl-string">'sysparm_fields': class="hl-string">'sys_id,number,sys_created_on,closed_at,opened_at,priority,state,assignment_group,assigned_to,problem_id'
    }
    incidents_raw = fetch_all_records(incident_url, headers, auth, incident_params)
    incidents_df = pd.DataFrame(incidents_raw)
    
    if incidents_df.empty:
        print(class="hl-string">"No incidents found for the given date range. Exiting.")
        exit()

    class=class="hl-string">"hl-comment"># Map sys_id to readable values for easier processing later
    for col in [class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'problem_id']:
        if col in incidents_df.columns:
            incidents_df[col] = incidents_df[col].apply(lambda x: x[class="hl-string">'display_value'] if isinstance(x, dict) and x else None)
            
    incident_sys_ids = class="hl-string">','.join(incidents_df[class="hl-string">'sys_id'].unique())

    class=class="hl-string">"hl-comment"># 2. Fetch Audit (sys_audit) Data for these incidents
    print(class="hl-string">"\n--- Fetching Audit Data ---")
    audit_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_audit"
    audit_query = fclass="hl-string">"documentkeyIN{incident_sys_ids}"
    audit_params = {
        class="hl-string">'sysparm_query': audit_query,
        class="hl-string">'sysparm_fields': class="hl-string">'documentkey,sys_created_on,fieldname,oldvalue,newvalue'
    }
    audit_raw = fetch_all_records(audit_url, headers, auth, audit_params)
    audit_df = pd.DataFrame(audit_raw)
    audit_df.rename(columns={class="hl-string">'documentkey': class="hl-string">'sys_id'}, inplace=True)

    class=class="hl-string">"hl-comment"># 3. Fetch Journal (comments) Data for these incidents
    print(class="hl-string">"\n--- Fetching Journal/Comment Data ---")
    journal_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_journal_field"
    journal_query = fclass="hl-string">"element_idIN{incident_sys_ids}^element=work_notes,comments"
    journal_params = {
        class="hl-string">'sysparm_query': journal_query,
        class="hl-string">'sysparm_fields': class="hl-string">'element_id,sys_created_on'
    }
    journal_raw = fetch_all_records(journal_url, headers, auth, journal_params)
    journal_df = pd.DataFrame(journal_raw)
    journal_df.rename(columns={class="hl-string">'element_id': class="hl-string">'sys_id'}, inplace=True)

    print(class="hl-string">"\n--- Processing Data and Generating Event Log ---")
    event_log_frames = []

    class=class="hl-string">"hl-comment"># Merge incident details into audit and journal logs for context
    incidents_context_df = incidents_df[[class="hl-string">'sys_id', class="hl-string">'number', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    incidents_context_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId'}, inplace=True)

    if not audit_df.empty:
        audit_df = pd.merge(audit_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')
    if not journal_df.empty:
        journal_df = pd.merge(journal_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')

    class=class="hl-string">"hl-comment"># Activity: Incident Created
    created_df = incidents_df[[class="hl-string">'number', class="hl-string">'sys_created_on', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    created_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Created'
    created_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'sys_created_on': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(created_df)

    class=class="hl-string">"hl-comment"># Activity: Incident Closed
    closed_df = incidents_df[incidents_df[class="hl-string">'closed_at'].notna() & (incidents_df[class="hl-string">'closed_at'] != class="hl-string">'')].copy()
    closed_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Closed'
    closed_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'closed_at': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(closed_df.drop(columns=[class="hl-string">'sys_created_on']))

    class=class="hl-string">"hl-comment"># Process audit data for remaining activities
    if not audit_df.empty:
        audit_df.sort_values(by=[class="hl-string">'sys_id', class="hl-string">'sys_created_on'], inplace=True)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Categorized (first change to category, subcategory, or priority)
        categorized_fields = [class="hl-string">'category', class="hl-string">'subcategory', class="hl-string">'priority']
        categorized_df = audit_df[audit_df[class="hl-string">'fieldname'].isin(categorized_fields)].copy()
        categorized_df = categorized_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        categorized_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Categorized'
        event_log_frames.append(categorized_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Group
        assign_group_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assignment_group') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_group_first_df = assign_group_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_group_first_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Group'
        event_log_frames.append(assign_group_first_df)
        
        class=class="hl-string">"hl-comment"># Activity: Assignment Group Changed (subsequent changes)
        assign_group_changed_df = assign_group_df.loc[assign_group_df.index.difference(assign_group_first_df.index)]
        assign_group_changed_df[class="hl-string">'ActivityName'] = class="hl-string">'Assignment Group Changed'
        event_log_frames.append(assign_group_changed_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Agent
        assign_agent_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assigned_to') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_agent_df = assign_agent_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_agent_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Agent'
        event_log_frames.append(assign_agent_df)

        class=class="hl-string">"hl-comment"># Activity: Work Started (State changed to In Progress)
        work_started_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: The class="hl-string">'newvalue' for state is often a numeric ID. Common value for class="hl-string">'In Progress' is class="hl-string">'2'. Adjust if needed.
        work_started_df = work_started_df[work_started_df[class="hl-string">'newvalue'].isin([class="hl-string">'2', class="hl-string">'In Progress', class="hl-string">'Work in Progress'])]
        work_started_df = work_started_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        work_started_df[class="hl-string">'ActivityName'] = class="hl-string">'Work Started'
        event_log_frames.append(work_started_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Escalated (Priority increases)
        priority_map = {class="hl-string">'1 - Critical': 1, class="hl-string">'2 - High': 2, class="hl-string">'3 - Moderate': 3, class="hl-string">'4 - Low': 4, class="hl-string">'5 - Planning': 5}
        escalated_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'priority'].copy()
        escalated_df[class="hl-string">'old_priority_val'] = escalated_df[class="hl-string">'oldvalue'].map(priority_map)
        escalated_df[class="hl-string">'new_priority_val'] = escalated_df[class="hl-string">'newvalue'].map(priority_map)
        escalated_df.dropna(subset=[class="hl-string">'old_priority_val', class="hl-string">'new_priority_val'], inplace=True)
        escalated_df = escalated_df[escalated_df[class="hl-string">'new_priority_val'] < escalated_df[class="hl-string">'old_priority_val']]
        escalated_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Escalated'
        event_log_frames.append(escalated_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Linked To Problem
        linked_problem_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'problem_id') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        linked_problem_df = linked_problem_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        linked_problem_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Linked To Problem'
        event_log_frames.append(linked_problem_df)
        
        class=class="hl-string">"hl-comment"># Activity: Resolution Proposed (State changed to Resolved)
        resolved_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: Common value for class="hl-string">'Resolved' is class="hl-string">'6'. Adjust if needed.
        resolved_df = resolved_df[resolved_df[class="hl-string">'newvalue'].isin([class="hl-string">'6', class="hl-string">'Resolved'])]
        resolved_df[class="hl-string">'ActivityName'] = class="hl-string">'Resolution Proposed'
        event_log_frames.append(resolved_df)
        
        class=class="hl-string">"hl-comment"># Activity: Awaiting User Confirmation (State changed to Awaiting User Info, after resolved)
        class=class="hl-string">"hl-comment"># This logic is complex and dependent on workflow. A simplified version is shown.
        state_changes = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        state_changes[class="hl-string">'prev_state'] = state_changes.groupby(class="hl-string">'sys_id')[class="hl-string">'oldvalue'].shift(-1)
        awaiting_df = state_changes[
            (state_changes[class="hl-string">'newvalue'].isin([class="hl-string">'Awaiting User Info', class="hl-string">'3'])) & 
            (state_changes[class="hl-string">'oldvalue'].isin([class="hl-string">'Resolved', class="hl-string">'6']))
        ].copy()
        awaiting_df[class="hl-string">'ActivityName'] = class="hl-string">'Awaiting User Confirmation'
        event_log_frames.append(awaiting_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Reopened
        reopened_df = audit_df[
            (audit_df[class="hl-string">'fieldname'] == class="hl-string">'state') & 
            (audit_df[class="hl-string">'oldvalue'].isin([class="hl-string">'6', class="hl-string">'7', class="hl-string">'Resolved', class="hl-string">'Closed']))
        ].copy()
        reopened_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Reopened'
        event_log_frames.append(reopened_df)
        
    class=class="hl-string">"hl-comment"># Activity: Support Comment Added
    if not journal_df.empty:
        comment_df = journal_df.copy()
        comment_df[class="hl-string">'ActivityName'] = class="hl-string">'Support Comment Added'
        event_log_frames.append(comment_df)

    class=class="hl-string">"hl-comment"># 4. Consolidate all event dataframes
    print(class="hl-string">"\n--- Consolidating Final Event Log ---")
    final_log = pd.DataFrame()
    for df in event_log_frames:
        if class="hl-string">'sys_created_on' in df.columns:
             df.rename(columns={class="hl-string">'sys_created_on': class="hl-string">'EventTime'}, inplace=True)
        if class="hl-string">'IncidentId' not in df.columns:
            continue class=class="hl-string">"hl-comment"># Skip frames that couldn't be processed
        
        common_cols = {
            class="hl-string">'IncidentId': None,
            class="hl-string">'ActivityName': None,
            class="hl-string">'EventTime': None,
            class="hl-string">'AssignedTo': None,
            class="hl-string">'AssignmentGroup': None,
            class="hl-string">'Priority': None,
            class="hl-string">'IncidentState': None
        }
        
        class=class="hl-string">"hl-comment"># Select and reorder columns, filling missing ones with None
        current_cols = {col: None for col in common_cols.keys()}
        df_subset = df[list(set(df.columns) & set(common_cols.keys()))].copy()
        final_log = pd.concat([final_log, df_subset], ignore_index=True)

    class=class="hl-string">"hl-comment"># 5. Final Cleaning and Formatting
    final_log.dropna(subset=[class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime'], inplace=True)
    final_log[class="hl-string">'EventTime'] = pd.to_datetime(final_log[class="hl-string">'EventTime'])
    final_log.sort_values(by=[class="hl-string">'IncidentId', class="hl-string">'EventTime'], inplace=True)
    
    final_log[class="hl-string">'SourceSystem'] = SOURCE_SYSTEM_NAME
    final_log[class="hl-string">'LastDataUpdate'] = last_data_update
    
    class=class="hl-string">"hl-comment"># Reorder columns to the desired format
    final_log = final_log[[
        class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime', class="hl-string">'SourceSystem', class="hl-string">'LastDataUpdate', 
        class="hl-string">'AssignedTo', class="hl-string">'AssignmentGroup', class="hl-string">'Priority', class="hl-string">'IncidentState'
    ]]

    class=class="hl-string">"hl-comment"># 6. Save to CSV
    output_filename = class="hl-string">'servicenow_incident_event_log.csv'
    final_log.to_csv(output_filename, index=False, date_format=class="hl-string">'%Y-%m-%dT%H:%M:%S.%f')
    print(fclass="hl-string">"\nSuccessfully extracted {len(final_log)} events for {final_log['IncidentId'].nunique()} incidents.")
    print(fclass="hl-string">"Event log saved to {output_filename}")

Je Incidentbeheer-datatemplate

Je Incidentbeheer-datatemplate

Incidentbeheer Attributen

Incidentbeheer Activities

Extractiegidsen

Directe extractie via ServiceNow Table REST API

Stappen

Configuratie

a Voorbeeldquery javascript

Python-scriptextractie met ServiceNow REST API

Stappen

Configuratie

a Voorbeeldquery python

Klaar om te starten?

Los incidenten sneller op: Verhoog ServiceNow-efficiëntie nu

Je Incidentbeheer-datatemplate

Je Incidentbeheer-datatemplate

Incidentbeheer Attributen

Incidentbeheer Activities

Extractiegidsen

Directe extractie via ServiceNow Table REST API

Stappen

Configuratie

a Voorbeeldquery javascript

Python-scriptextractie met ServiceNow REST API

Stappen

Configuratie

a Voorbeeldquery python

Wij hechten veel waarde aan je privacy

Klaar om te starten?

Los incidenten sneller op: Verhoog ServiceNow-efficiëntie nu