> Continue procesverbetering > Incident Management > ServiceNow Problem Management > Datatemplate

Data Template: Incident Management

ServiceNow Problem Management

Incident Management attributen (20) Incident Management activiteiten (13) Extractie Guides (2)

Uw Incident Management-datatemplate

Deze template biedt een uitgebreide gids voor het verzamelen van de benodigde data om uw incident management process te analyseren en te optimaliseren. Het beschrijft essentiële data attributes om te verzamelen, belangrijke activities om te volgen en praktische begeleiding over hoe u deze informatie uit uw source system kunt extraheren. Gebruik deze resource om een robuuste event log op te bouwen voor diepgaande process analysis en verbetering.

Aanbevolen attributen om vast te leggen
Belangrijkste activiteiten om te volgen
Extractiehandleiding voor ServiceNow Problem Management

Nieuw met event logs? Leer hoe u een process mining event log creëert.

Template downloaden

Incident Management attributen

Dit zijn de aanbevolen datavelden om op te nemen in uw event log voor een uitgebreide analyse van uw incidentbeheerproces.

5 Verplicht 4 Aanbevolen 11 Optioneel

	Naam	Beschrijving
	Activiteitsnaam ActivityName	De naam van de specifieke event of taak die op een bepaald tijdstip plaatsvond binnen de levenscyclus van het incident.
Beschrijving De Activity Name beschrijft een specifieke stap of statuswijziging in het incident management proces, zoals 'Incident Created', 'Assigned To Agent' of 'Incident Closed'. Deze data is doorgaans afgeleid van wijzigingen in belangrijke incidentvelden zoals State of Assignment Group, of van specifieke logboekvermeldingen. Dit attribute is cruciaal voor het opbouwen van de proceskaart. Het definieert de knooppunten in de procesgraaf, waardoor analisten de stroom van incidenten kunnen visualiseren, gemeenschappelijke paden kunnen identificeren, knelpunten tussen activiteiten kunnen ontdekken en procesvarianten kunnen analyseren. De granulariteit en nauwkeurigheid van deze activity names zijn direct van invloed op de kwaliteit van de process analysis. Waarom het belangrijk is Het definieert de stappen in de process map, wat de basis vormt voor alle Process Mining analyse en visualisatie. Waar te verkrijgen Dit is een afgeleid attribute, meestal gegenereerd door de data transformation logic op basis van wijzigingen in fields zoals state, assignment_group en assigned_to in de sys_audit of incident tables. Voorbeelden Incident aangemaaktToewijzingsgroep gewijzigdOplossing VoorgesteldIncident gesloten
	Incident ID IncidentId	De unieke ID voor elk incidentrecord, die fungeert als de primary key voor het volgen van de gehele levenscyclus.
Beschrijving De Incident ID is het unieke referentienummer dat wordt toegekend aan elk gemeld incident in ServiceNow. Het fungeert als de belangrijkste identificator voor de case die alle gerelateerde activiteiten, updates en communicatie met elkaar verbindt, vanaf het moment dat een incident wordt aangemaakt totdat het wordt gesloten. Bij process mining-analyse is deze ID fundamenteel. Het stelt de tool in staat om de opeenvolging van events voor elke individuele case samen te voegen, wat de basis vormt voor het ontdekken van proceskaarten, het analyseren van varianten en het berekenen van totale doorlooptijden. Zonder een unieke Incident ID voor elke case zou het onmogelijk zijn om de reis van een incident door het oplossingsproces te traceren. Waarom het belangrijk is Dit is de essentiële Case ID die alle events in de lifecycle van een incident met elkaar verbindt, waardoor end-to-end process analysis mogelijk wordt. Waar te verkrijgen ServiceNow incident-tabel, veld number. Voorbeelden INC0010001INC0010045INC0010239
	Tijdstip Gebeurtenis EventTime	De precieze timestamp die aangeeft wanneer de activiteit plaatsvond.
Beschrijving Event Time, vaak bekend als de timestamp, registreert de exacte datum en tijd dat een activiteit werd voltooid of een statuswijziging plaatsvond. In ServiceNow wordt dit doorgaans vastgelegd in het sys_updated_on veld voor elke wijziging die in het audit trail wordt vastgelegd. Dit attribute is essentieel voor het correct ordenen van events en voor alle tijdgebaseerde analyse. Het wordt gebruikt om doorlooptijden, wachttijden en de duur tussen activiteiten te berekenen, wat fundamenteel is voor het identificeren van knelpunten, het meten van prestaties tegen SLA's en het begrijpen van procesefficiëntie. De nauwkeurigheid van deze timestamps is cruciaal voor de geldigheid van elke op duur gebaseerde metric. Waarom het belangrijk is Deze timestamp ordent alle activities chronologisch en maakt de berekening mogelijk van alle duur-gebaseerde metrics, zoals cycle times en bottlenecks. Waar te verkrijgen ServiceNow sys_audit-tabel, veld sys_created_on of het sys_updated_on veld uit de incident-tabel voor de laatste status. Voorbeelden 2023-04-15T10:05:21Z2023-04-15T11:22:00Z2023-04-16T09:00:30Z
	Bronsysteem SourceSystem	Het systeem waaruit deze data is geëxtraheerd.
Beschrijving Dit attribuut identificeert de oorsprong van de incidentdata, wat in dit geval ServiceNow Problem Management is. Het is doorgaans een statische waarde die wordt toegevoegd tijdens het proces van data-extractie en -transformatie. In omgevingen waar data uit meerdere systemen kan worden gecombineerd voor analyse, is dit veld cruciaal voor data lineage en scheiding. Het helpt ervoor te zorgen dat metrics en processen binnen de juiste context worden geanalyseerd en stelt analisten in staat processen te vergelijken tussen verschillende bronsystemen. Waarom het belangrijk is Het biedt cruciale context over data herkomst, wat data lineage waarborgt en correcte interpretatie in multi-systeemomgevingen mogelijk maakt. Waar te verkrijgen Dit is doorgaans een statische value die wordt toegevoegd tijdens het data extraction process. Voorbeelden ServiceNow Problem ManagementServiceNow
	Laatste data-update LastDataUpdate	De tijdstempel die aangeeft wanneer de gegevens voor dit record het laatst zijn ververst vanuit het bronsysteem.
Beschrijving Dit attribute registreert de datum en tijd van de meest recente data-extractie of update uit ServiceNow. Het is een metadata-veld dat de actualiteit van de geanalyseerde data weergeeft, en geen event is in het proces zelf. Deze informatie is essentieel om de tijdigheid van de analyse te begrijpen. Het laat gebruikers zien hoe recent de data is, wat belangrijk is voor operationele dashboards en voor beslissingen gebaseerd op recente events. Het helpt verwachtingen te managen over de relevantie en actualiteit van de data. Waarom het belangrijk is Het informeert gebruikers over de actualiteit van de data, wat cruciaal is voor de relevantie en nauwkeurigheid van de analyse. Waar te verkrijgen Deze timestamp wordt gegenereerd en gevuld door de data extraction tool of het proces op het moment van de data load. Voorbeelden 2023-10-27T02:00:00Z2023-10-28T02:00:00Z
	Incidentstatus IncidentState	De huidige status van het incident in zijn levenscyclus.
Beschrijving De Incidentstatus geeft de huidige fase van het incident aan, zoals 'Nieuw', 'In Behandeling', 'In de wacht' of 'Opgelost'. Statuswijzigingen zijn vaak de primaire bron voor het genereren van activiteiten in het event log voor process mining. Het analyseren van de tijd die in elke status wordt doorgebracht, is een krachtige manier om knelpunten te identificeren. Een lange duur in de status 'In de wacht' kan bijvoorbeeld duiden op afhankelijkheden van externe factoren of gebruikers. De opeenvolging van statuswijzigingen vormt ook de basis van de proceskaart, die laat zien hoe incidenten vorderen naar oplossing. Waarom het belangrijk is Het volgt de voortgang van het incident en is essentieel voor het analyseren van de tijd besteed in verschillende fases en het identificeren van process bottlenecks. Waar te verkrijgen ServiceNow incident-tabel, veld incident_state of state. Voorbeelden NieuwIn uitvoeringWachtend op GebruikersinformatieOpgelostGesloten
	Prioriteit Priority	Het prioriteitsniveau van het incident, dat de vereiste urgentie van de reactie bepaalt.
Beschrijving Priority is een cruciaal veld in ServiceNow dat de volgorde en snelheid voor de afhandeling van een incident bepaalt. Het wordt doorgaans afgeleid van de impact en urgentie van het incident, en beïnvloedt direct de SLA targets. Dit attribute is fundamenteel voor segmentatie en prestatieanalyse. Het 'SLA Compliance Overview' dashboard gebruikt Priority om te beoordelen of high-priority incidents binnen hun target times worden opgelost. Het analyseren van cycle times per priority helpt bevestigen dat kritieke incidents inderdaad sneller worden verwerkt dan minder belangrijke. Het is een kritische dimensie voor bijna elke KPI en elk dashboard. Waarom het belangrijk is Het maakt segmentatie van incidents mogelijk op basis van bedrijfskritische aard, wat cruciaal is voor het monitoren van SLA compliance en het toewijzen van middelen. Waar te verkrijgen ServiceNow incident-tabel, veld priority. Voorbeelden 1 - Kritiek2 - Hoog3 - Moderate4 - Laag
	Toegewezen aan AssignedTo	De individuele gebruiker of agent die momenteel is toegewezen aan het incident.
Beschrijving Dit attribuut identificeert de specifieke ondersteuningsagent die op een bepaald tijdstip verantwoordelijk is voor het incident. Deze informatie is cruciaal voor het begrijpen van werkdrukverdeling, agentprestaties en handoffs tussen individuen. In analyse helpt 'Toegewezen aan' bij het visualiseren van resource-allocatie en het identificeren van overbelaste agents. Het wordt ook gebruikt in het dashboard 'Handoff en Reassignment' om bij te houden hoe vaak een incident van individuele eigenaar wisselt, wat een indicator kan zijn voor inefficiëntie of kennisleemtes. Het analyseren van oplossingstijden per agent kan ook best presterenden of degenen die aanvullende training nodig hebben, benadrukken. Waarom het belangrijk is Het maakt analyse van agent workload, prestaties en individuele handoffs mogelijk, wat essentieel is voor het begrijpen van resource-efficiëntie. Waar te verkrijgen ServiceNow incident-tabel, veld assigned_to. Voorbeelden Beth AnglinDavid LooHoward Johnson
	Toewijzingsgroep AssignmentGroup	Het ondersteuningsteam of de groep die verantwoordelijk is voor de afhandeling van het incident.
Beschrijving De Assignment Group vertegenwoordigt het team van agenten dat belast is met het oplossen van het incident. Incidenten worden vaak gerouteerd tussen verschillende groepen, zoals van een Level 1-helpdesk naar een gespecialiseerd Level 2-netwerkteam. Dit attribute is essentieel voor het analyseren van overdrachten tussen teams en het identificeren van systemische knelpunten. Het dashboard 'Handoff and Reassignment Rate' is sterk afhankelijk van deze data om te laten zien welke teams vaak betrokken zijn bij overdrachten. Het maakt ook prestatievergelijkingen tussen verschillende supportgroepen mogelijk en helpt te begrijpen waar de oplossingsdeskundigheid binnen de organisatie ligt. Waarom het belangrijk is Dit volgt welk team verantwoordelijk is, waardoor analyse van team performance, workload en handoffs tussen groups mogelijk wordt. Waar te verkrijgen ServiceNow incident-tabel, veld assignment_group. Voorbeelden Service DeskNetwerkondersteuningDatabasebeheerders
	Aantal Herindelingen ReassignmentCount	Het aantal keren dat het incident opnieuw is toegewezen aan een andere groep of agent.
Beschrijving Dit field houdt het totale aantal keren bij dat een incident is overgedragen tussen verschillende assignment groups. Het is een directe maatstaf voor process friction en wordt vaak gebruikt als een belangrijke key performance indicator. Dit attribute is de primaire motor voor het 'Handoff and Reassignment Rate' dashboard en de 'Average Handoffs per Incident' KPI. Een hoog aantal heroverdrachten duidt vaak op problemen zoals onjuiste initiële routering, gebrek aan vaardigheden in een support tier, of onduidelijk process ownership. Het verminderen van dit aantal is een veelvoorkomend doel voor process improvement initiatives, aangezien het doorgaans leidt tot snellere resolution times. Waarom het belangrijk is Dit meet direct process handoffs, een belangrijke indicator voor inefficiëntie, onjuiste routering en mogelijkheden voor verbetering. Waar te verkrijgen ServiceNow incident-tabel, veld reassignment_count. Voorbeelden 0135
	Categorie Category	De hoofdclassificatie van het incident, zoals Hardware, Software of Netwerk.
Beschrijving De Categorie biedt een brede classificatie van de aard van een incident. Dit, vaak in combinatie met een subcategorie, helpt bij het routeren van het incident naar het juiste ondersteuningsteam en wordt gebruikt voor rapportage en trendanalyse. Voor process mining is dit attribuut cruciaal voor de dashboards 'Nauwkeurigheid Incidentcategorisatie' en 'Volume Terugkerende Incidenten'. Door incidenten te analyseren waarbij de categorie tijdens het proces wordt gewijzigd, kunnen organisaties problemen met de initiële triage identificeren. Het filteren van de proceskaart op categorie kan ook laten zien of bepaalde soorten incidenten verschillende afhandelingspaden volgen of unieke knelpunten ervaren. Waarom het belangrijk is Het maakt analyse van incident types mogelijk, helpt bij het meten van de nauwkeurigheid van de categorisatie en is cruciaal voor routing en trend analysis. Waar te verkrijgen ServiceNow incident-tabel, veld category. Voorbeelden HardwareSoftwareNetwerkDatabase
	Configuratie-item ConfigurationItem	De specifieke IT-component, dienst of activum dat door het incident wordt beïnvloed.
Beschrijving Het Configuratie-item (CI) is de component uit de Configuration Management Database (CMDB) die door het incident wordt beïnvloed. Dit kan een server, applicatie, laptop of netwerkapparaat zijn. Het analyseren van incidenten per CI is uitermate waardevol voor het identificeren van onbetrouwbare componenten of diensten. Het helpt bepalen welke delen van de IT-infrastructuur de meeste incidenten genereren, wat investeringen in upgrades of vervangingen kan sturen. Binnen process mining kan filteren op CI laten zien of incidenten gerelateerd aan kritieke applicaties anders of efficiënter worden afgehandeld dan andere. Waarom het belangrijk is Het identificeert het getroffen asset, wat helpt bij het lokaliseren van problematische componenten in de IT-infrastructuur en het richten van verbeterinspanningen. Waar te verkrijgen ServiceNow incident-tabel, veld cmdb_ci. Voorbeelden SAP ERP ProductieOracle DB Server 05E-mailservice
	Doorlooptijd CycleTime	De totale duur vanaf het moment dat een incident werd aangemaakt totdat het werd gesloten.
Beschrijving Cycle Time is een berekende metriek die de end-to-end duur van het incidentmanagementproces voor een enkele case vertegenwoordigt. Het wordt doorgaans berekend als het verschil tussen de 'Gesloten' timestamp en de 'Gecreëerd' timestamp. Dit is een van de meest fundamentele KPI's in process mining, die direct het 'Incident Resolution Cycle Time' dashboard ondersteunt. Het analyseren van de gemiddelde cycle time, evenals de verdeling ervan, helpt organisaties bij het meten van de algehele efficiëntie, het vaststellen van prestatiebaselines en het identificeren van de impact van proceswijzigingen. Door deze metriek uit te splitsen naar attributes zoals prioriteit of categorie wordt onthuld welke soorten incidenten het langst duren om op te lossen. Waarom het belangrijk is Deze kern-KPI meet de end-to-end efficiëntie van het proces en wordt gebruikt om langlopende cases te identificeren en de algehele performance te volgen. Waar te verkrijgen Berekend door de eerste event timestamp af te trekken van de laatste event timestamp voor elke Incident ID. Voorbeelden 2592008640001209600
	Ernst Severity	De mate van bedrijfsimpact veroorzaakt door het incident.
Beschrijving Severity definieert in welke mate een incident impact heeft op de bedrijfsactiviteiten. Samen met urgentie wordt het vaak gebruikt voor de automatische berekening van de priority van het incident. Bij analyse is severity een cruciale dimensie voor het dashboard 'SLA Compliance Overview'. Het helpt organisaties te begrijpen of zij voldoen aan de serviceniveaus voor de meest ontwrichtende incidenten. Het biedt een bedrijfsgericht beeld van de prestaties, als aanvulling op het operationele beeld van priority. Waarom het belangrijk is Het meet de zakelijke impact van een incident, wat een cruciale dimensie biedt voor het prioriteren van inspanningen en het analyseren van prestaties bij kritieke problemen. Waar te verkrijgen ServiceNow incident-tabel, veld severity. Voorbeelden 1 - Hoog2 - Gemiddeld3 - Laag
	Is Heropend IsReopened	Een indicator die aangeeft of een incident is heropend na te zijn opgelost.
Beschrijving Deze boolean flag wordt ingesteld op true als de state van een incident is teruggezet naar een actieve state (bijv. 'In Progress') nadat het eerder een 'Resolved' of 'Closed' state had bereikt. Dit wordt doorgaans geïdentificeerd door te zoeken naar een 'Incident Reopened' activity in de event log. Heropende incidents zijn een sterke indicator van onvolledige of ineffectieve oplossingen. Het analyseren van deze cases helpt bij het identificeren van vroegtijdige afsluitingen of terugkerende problemen die de eerste keer niet goed zijn opgelost. Een hoog heropeningspercentage kan een negatieve invloed hebben op de gebruikerstevredenheid en teamproductiviteit, waardoor dit een belangrijke metric is voor kwaliteitscontrole. Waarom het belangrijk is Deze flag identificeert storingen in het resolution process, waarbij incidents worden gemarkeerd die extra werk vereisten nadat ze als resolved waren beschouwd. Waar te verkrijgen Berekend door de reeks activiteiten voor elk incident te controleren om te zien of een 'open' status volgt op een 'opgelost' status. Voorbeelden truefalse
	Is SLA Geschonden IsSlaBreached	Een indicator die aangeeft of de oplossing van het incident de SLA-deadline heeft overschreden.
Beschrijving Dit is een berekend boolean attribute dat incidents markeert die hun Service Level Agreement hebben overtreden. Het wordt afgeleid door de daadwerkelijke resolution timestamp te vergelijken met de 'SLA Due Date'. Als de resolution time na de due date ligt, wordt de flag ingesteld op true. Dit attribute is de basis voor het 'SLA Compliance Overview' dashboard en gerelateerde KPIs. Het vereenvoudigt de analyse door een complexe tijdvergelijking om te zetten in een eenvoudige true/false dimension, waardoor het gemakkelijk wordt om alle overtreden incidents te filteren en hun gemeenschappelijke kenmerken te analyseren, zoals category, assignment group of priority. Waarom het belangrijk is Het vereenvoudigt SLA compliance analyse, wat gemakkelijke filtering en diepgaande analyse mogelijk maakt van alle incidents die hun targets niet hebben gehaald. Waar te verkrijgen Berekend door de 'Resolved At' timestamp te vergelijken met de 'SlaDueDate' timestamp. (Resolved At > SlaDueDate). Voorbeelden truefalse
	Melder CallerId	De gebruiker die het incident oorspronkelijk heeft gemeld.
Beschrijving De Caller identificeert de eindgebruiker of klant die door het incident is getroffen en dit heeft gemeld. Deze informatie biedt context over wie wordt beïnvloed door serviceverstoringen. Hoewel niet altijd centraal in de process flow zelf, kan het analyseren van incidenten per caller onthullen of specifieke personen of afdelingen onevenredig worden getroffen door problemen. Dit kan wijzen op trainingsbehoeften of gelokaliseerde omgevingsproblemen. Het biedt ook een directe link naar de klant voor tevredenheidsonderzoeken en communicatie. Waarom het belangrijk is Het identificeert de getroffen gebruiker, wat analyse per afdeling of individu mogelijk maakt en context biedt voor gebruikerscommunicatie. Waar te verkrijgen ServiceNow incident-tabel, veld caller_id. Voorbeelden Abel TuterCarolina PashDon Goodliffe
	Oplossingscode ResolutionCode	Een code die aangeeft hoe het incident uiteindelijk is opgelost.
Beschrijving De Oplossingscode specificeert de aard van de toegepaste oplossing, bijvoorbeeld of het probleem door een gebruiker is opgelost, door een bekende fout is verholpen, of dat er een workaround is geboden. Dit veld wordt doorgaans door de agent ingevuld bij het sluiten van het incident. Dit attribuut ondersteunt direct het dashboard 'Effectiviteit Oplossingstype'. Het maakt analyse mogelijk van hoeveel incidenten worden gesloten met permanente oplossingen versus tijdelijke workarounds, wat een belangrijke indicator is voor servicekwaliteit en langetermijnstabiliteit. Een hoog percentage workarounds kan suggereren dat onderliggende problemen niet adequaat worden aangepakt. Waarom het belangrijk is Het verduidelijkt de oplossingsmethode, waardoor analyse van permanente oplossingen versus tijdelijke workarounds mogelijk wordt en root cause analysis wordt ondersteund. Waar te verkrijgen ServiceNow incident-tabel, veld close_code of een aangepast oplossingscodeveld. Voorbeelden Opgelost (Workaround)Opgelost (Permanent)Niet opgelost (gebruiker geannuleerd)Known Error
	Problem ID ProblemId	De ID van het gekoppelde Probleemrecord als het incident is gekoppeld aan een groter probleem.
Beschrijving De Problem ID koppelt een incident aan een corresponderend record in de module voor Probleembeheer. Dit gebeurt wanneer een incident wordt geïdentificeerd als een symptoom van een groter, onderliggend probleem dat meerdere gebruikers of diensten beïnvloedt. Deze koppeling is cruciaal voor het dashboard 'Volume Terugkerende Incidenten' en de KPI 'Percentage Terugkerende Incidenten'. Het stelt analisten in staat incidenten te groeperen die voortkomen uit dezelfde grondoorzaak, de volledige impact van een probleem te meten en de effectiviteit van inspanningen voor probleemoplossing te volgen. Een groot aantal incidenten gekoppeld aan problemen duidt op een reactieve ondersteuningsomgeving. Waarom het belangrijk is Het koppelt incidents aan een root cause, wat essentieel is voor het analyseren van terugkerende problemen en het meten van de impact van problem management. Waar te verkrijgen ServiceNow incident-tabel, veld problem_id. Voorbeelden PRB0040001PRB0040015PRB0040102
	SLA Einddatum SlaDueDate	De streefdatum en -tijd waarop het incident naar verwachting is opgelost volgens de SLA.
Beschrijving De SLA Due Date is een berekende timestamp die de deadline voor oplossing van een incident weergeeft. Deze datum wordt bepaald door de Service Level Agreement (SLA) die is gekoppeld aan de kenmerken van het incident, zoals de prioriteit. Dit attribuut is essentieel voor het dashboard 'SLA Compliance Overzicht' en de KPI 'Overtredingspercentage Kritieke Incident SLA'. Het dient als benchmark waartegen de werkelijke oplossingstijd wordt vergeleken. Het analyseren van incidenten die de SLA Due Date naderen, kan helpen bij proactieve escalatie en prioritering. Waarom het belangrijk is Het definieert het oplossingsdoel, waardoor het mogelijk is om SLA compliance te meten en incidents te identificeren die het risico lopen hun targets te overschrijden. Waar te verkrijgen Deze value wordt doorgaans gevonden in de task_sla table, die gerelateerd is aan de incident table. Het planned_end_time field is de relevante timestamp. Voorbeelden 2023-05-20T17:00:00Z2023-06-01T09:00:00Z

Verplicht Aanbevolen Optioneel

Incident Management activiteiten

Dit zijn de belangrijkste processtappen en mijlpalen die u in uw event log moet vastleggen voor accurate process discovery en optimalisatie.

6 Aanbevolen 7 Optioneel

	Activiteit	Beschrijving
	Incident aangemaakt	Markeert het begin van de incident lifecycle wanneer een nieuw incident formeel wordt vastgelegd in ServiceNow. Deze event wordt expliciet vastgelegd met behulp van de aanmaak timestamp van de incident record.
Waarom het belangrijk is Dit is het primaire start event voor het proces. Het analyseren van de tijd vanaf deze activity tot resolution is fundamenteel voor het meten van de algehele cycle time en SLA compliance. Waar te verkrijgen De timestamp sys_created_on op de incident-tabel dient als de expliciete event timestamp voor deze activiteit. Vastleggen Gebruik de 'sys_created_on' timestamp uit de incident record. Gebeurtenistype explicit
	Incident gesloten	Dit is de laatste activity in de lifecycle, wat aangeeft dat het incident volledig is opgelost, bevestigd en dat verdere actie niet nodig is. Het event wordt expliciet vastgelegd via de closure timestamp.
Waarom het belangrijk is Als definitieve eindgebeurtenis is deze activiteit essentieel voor het berekenen van de totale duur van de incidentlevenscyclus en het analyseren van de benodigde tijd voor de verwerking na de oplossing. Waar te verkrijgen De timestamp closed_at op de incident-tabel dient als de expliciete event timestamp voor deze activiteit. Dit wordt doorgaans ingesteld wanneer het state-veld wijzigt naar Closed. Vastleggen Gebruik de 'closed_at' timestamp uit de incident record. Gebeurtenistype explicit
	Incident toegewezen aan groep	Deze activiteit vindt plaats wanneer een incident wordt toegewezen aan een specifieke ondersteuningsgroep voor afhandeling. Het is een belangrijke stap in het routeringsproces en wordt vastgelegd door wijzigingen in het toewijzingsgroepveld te observeren.
Waarom het belangrijk is Het volgen van assignments is essentieel voor het analyseren van handoffs, queue times voor elke group en het identificeren van routing inefficiencies of bottlenecks. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door te volgen wanneer het 'assignment_group'-veld in de 'incident'-tabel wordt gevuld of gewijzigd. Vastleggen Gebruik de timestamp uit de audit log voor wijzigingen in het 'assignment_group' field. Gebeurtenistype inferred
	Oplossing Voorgesteld	Markeert het punt waarop een support agent een oplossing heeft geïmplementeerd en het incident naar een 'Resolved' status heeft verplaatst. Dit is een belangrijke mijlpaal voorafgaand aan de uiteindelijke afsluiting.
Waarom het belangrijk is Deze activiteit markeert het einde van actieve werkzaamheden en het begin van de bevestigingsfase. De tijd tussen deze activiteit en 'Incident Gesloten' kan vertragingen in gebruikersbevestiging of verificatie onthullen. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel wanneer het 'state'-veld in de 'incident'-tabel verandert naar 'Resolved'. De 'resolved_at' timestamp wordt vaak op dat moment gevuld. Vastleggen Gebruik de timestamp wanneer het 'state' field 'Resolved' wordt of de 'resolved_at' timestamp. Gebeurtenistype inferred
	Toewijzingsgroep gewijzigd	Vertegenwoordigt een overdracht waarbij een incident van de ene supportgroep naar de andere wordt overgedragen. Dit wordt vastgelegd door opeenvolgende wijzigingen in het veld assignment_group te observeren na de initiële invulling.
Waarom het belangrijk is Frequente heroverdrachten kunnen duiden op onjuiste initiële routering, procescomplexiteit of kennisleemtes. Deze activiteit is cruciaal voor het meten van de KPI 'Gemiddeld aantal overdrachten per incident'. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door elke wijziging aan het 'assignment_group'-veld na de initiële toewijzing te volgen. Vastleggen Identificeer elke timestamped wijziging in het veld 'assignment_group' in het audit log. Gebeurtenistype inferred
	Werk gestart	Geeft aan dat een agent actief is begonnen met het onderzoeken of werken aan het incident. Dit wordt doorgaans afgeleid wanneer de state van het incident verandert van 'New' of 'Assigned' naar een actieve state zoals 'In Progress'.
Waarom het belangrijk is Deze milestone markeert het einde van de initiële queue time en het begin van actieve resolution efforts. Het meten van de tijd totdat het werk begint, is essentieel voor bottleneck analysis. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door te identificeren wanneer het 'state'-veld in de 'incident'-tabel verandert naar een waarde die actief werk vertegenwoordigt, zoals 'In Progress'. Vastleggen Identificeer de timestamp wanneer het veld 'state' verandert naar 'In Progress' of een soortgelijke waarde. Gebeurtenistype inferred
	Incident gecategoriseerd	Vertegenwoordigt de initiële classificatie van het incident, waarbij velden zoals Category, Subcategory en Priority worden ingesteld. Dit event wordt doorgaans afgeleid uit het audit trail wanneer deze velden voor het eerst worden ingevuld of kort na de aanmaak worden bijgewerkt.
Waarom het belangrijk is Nauwkeurige categorisatie is cruciaal voor de juiste routering en prioritering. Het volgen van deze activity helpt bij het analyseren van hercategorisatiesnelheden en hun impact op de oplostijd. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door de eerste wijziging aan velden zoals 'category', 'subcategory' of 'priority' voor een gegeven incident te identificeren. Vastleggen Identificeer de timestamp van de eerste update van classificatievelden in het audit log. Gebeurtenistype inferred
	Incident Geëscaleerd	Treedt op wanneer de prioriteit of urgentie van een incident wordt verhoogd, wat vaak een snellere respons of andere middelen vereist. Dit wordt afgeleid door een opwaartse wijziging in de waarde van het 'priority'-veld te detecteren.
Waarom het belangrijk is Escalaties duiden er vaak op dat een incident ernstiger is dan aanvankelijk gedacht, of dat een SLA-schending nadert. Het analyseren van deze events helpt bij het begrijpen van procesafwijkingen. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door een wijziging in het 'priority'-veld naar een waarde met hogere urgentie te identificeren. Vastleggen Detecteer wanneer de waarde van het 'priority'-veld toeneemt (bijv. van '3 - Moderate' naar '2 - High'). Gebeurtenistype inferred
	Incident gekoppeld aan probleem	Deze activiteit vindt plaats wanneer een incident formeel wordt gekoppeld aan een probleemrecord, wat aangeeft dat het deel uitmaakt van een groter, onderliggend probleem. Dit wordt afgeleid wanneer het veld 'problem_id' op het incidentrecord wordt gevuld.
Waarom het belangrijk is Koppeling aan een problem is een cruciale stap in de overgang van reactieve incident oplossingen naar proactieve root cause analysis. Het ondersteunt het 'Recurring Incident Volume' dashboard. Waar te verkrijgen Afgeleid door te detecteren wanneer het referentieveld 'problem_id' in de 'incident'-tabel wordt gevuld met een waarde. Vastleggen Identificeer de timestamp uit het audit log wanneer het veld 'problem_id' is gevuld. Gebeurtenistype inferred
	Incident heropend	Treedt op wanneer een gebruiker meldt dat het probleem aanhoudt nadat het als 'Resolved' was gemarkeerd. Dit wordt afgeleid wanneer de incident state verschuift van 'Resolved' terug naar een actieve status zoals 'In Progress'.
Waarom het belangrijk is Heropende incidenten duiden op mislukte oplossingen en vertegenwoordigen herbewerking. Het bijhouden van deze activiteit is van vitaal belang voor het meten van de oplossingskwaliteit en first-time fix rates. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door een 'state'-veldovergang van 'Resolved' terug naar een actieve status, zoals 'In Progress' of 'Assigned', te detecteren. Vastleggen Identificeer timestamp wanneer 'state' van 'Resolved' naar een actieve waarde overgaat. Gebeurtenistype inferred
	Incident toegewezen aan agent	Vertegenwoordigt het punt waarop een specifieke agent binnen een supportgroep het eigenaarschap van het incident overneemt. Dit wordt vastgelegd door wijzigingen in het veld assigned_to te monitoren.
Waarom het belangrijk is Dit biedt een granular view van de agent workload en first-contact resolution. Het helpt bepalen hoe lang incidents wachten voordat een individu begint met werken nadat ze aan een group zijn toegewezen. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door te volgen wanneer het 'assigned_to'-veld in de 'incident'-tabel wordt gevuld of gewijzigd. Vastleggen Gebruik de timestamp uit de audit log voor wijzigingen in het 'assigned_to' field. Gebeurtenistype inferred
	Supportcommentaar Toegevoegd	Een support agent voegt een work note of een opmerking toe die zichtbaar is voor de gebruiker. Dit is een expliciete event die wordt vastgelegd in de activity stream van het incident.
Waarom het belangrijk is Volgt communicatie- en onderzoeksinspanningen door het support team. Het analyseren van de frequentie en timing van deze comments geeft inzicht in het onderzoeksproces. Waar te verkrijgen Vastgelegd uit de 'sys_journal_field' tabel, die vermeldingen logt voor de 'work_notes' en 'comments' velden op de 'incident' tabel. Vastleggen Gebruik de aanmaak timestamp van journal entries waarbij het element 'work_notes' of 'comments' is. Gebeurtenistype explicit
	Wacht op Gebruikersbevestiging	Het incident bevindt zich in een afwachtende status, wachtend op de gebruiker om te bevestigen dat de voorgestelde oplossing succesvol was. Dit wordt doorgaans afgeleid uit een specifieke status zoals 'Wachten op gebruikersinfo' nadat het incident is opgelost.
Waarom het belangrijk is Deze state kan een aanzienlijke bottleneck zijn als gebruikers traag reageren. Het meten van de tijd die in deze activity wordt doorgebracht, helpt communicatiekloven en mogelijkheden om closure te automatiseren te identificeren. Waar te verkrijgen Afgeleid uit de 'sys_audit'-tabel door een wijziging naar een specifieke wachtstatus na resolutie te identificeren. De statusnaam kan aangepast zijn, zoals 'Awaiting Caller'. Vastleggen Identificeer timestamp wanneer 'state' verandert naar een waarde die wachten op gebruikersinvoer aangeeft. Gebeurtenistype inferred

Aanbevolen Optioneel

Extractie Guides

Hoe u uw data uit ServiceNow Problem Management krijgt

Stappen

ServiceNow Toegang Instellen: Verkrijg inloggegevens voor een serviceaccount in ServiceNow. Dit account moet leesrechten (ACL's) hebben voor de incident-tabel, de sys_audit-tabel, en alle vereiste velden, waaronder sys_id, number, sys_created_on, resolved_at, closed_at, assignment_group, assigned_to, priority, incident_state, state, category, subcategory, problem_id, comments, en work_notes.
Node.js Omgeving Configureren: Zorg ervoor dat Node.js is geïnstalleerd op de machine die het extractiescript zal uitvoeren. Installeer de axios-bibliotheek voor het maken van HTTP-verzoeken door npm install axios uit te voeren in uw terminal.
Extractiescript Voorbereiden: Kopieer de meegeleverde JavaScript-code naar een bestand, bijvoorbeeld extract_incidents.js. Vul bovenaan het script de placeholderwaarden in voor de URL van uw ServiceNow-instantie, gebruikersnaam en wachtwoord.
Extractieparameters Definiëren: Pas de variabelen startDate en endDate in het script aan om de tijdsperiode te definiëren voor de incidents die u wilt extraheren. Voor initiële uitvoeringen wordt aanbevolen een klein datumbereik te gebruiken, zoals één week, om de resultaten te valideren.
Script Uitvoeren: Voer het script uit vanuit uw terminal met het commando node extract_incidents.js. Het script zal beginnen met het ophalen van incidentdata en de bijbehorende audit logs via de ServiceNow API.
Scriptvoortgang Monitoren: Het script zal de voortgang loggen naar de console en tonen hoeveel incidents zijn verwerkt. Houd er rekening mee dat dit proces voor grote datasets aanzienlijk veel tijd kan kosten vanwege het aantal benodigde API calls.
API Reacties Verwerken: Het script doorloopt programmatisch elke incident. Voor elke incident bevraagt het de sys_audit-tabel om de volledige wijzigingsgeschiedenis op te halen. Vervolgens verwerkt het deze geschiedenis om de 13 vereiste activities te identificeren en te voorzien van een timestamp.
Afgeleide Activities Verwerken: Het script bevat logica om activities af te leiden uit veldwijzigingen. Bijvoorbeeld, 'Incident Escalated' wordt gecreëerd wanneer de nieuwe waarde van het priority-veld lager is (wat een hogere prioriteit aangeeft) dan de oude waarde. 'Work Started' wordt geïdentificeerd door de eerste statuswijziging naar 'In Progress'.
Event Log Structureren: Zodra activities zijn geïdentificeerd, worden deze geformatteerd tot eventlogrecords, waarbij elk record de vereiste kolommen bevat: IncidentId, ActivityName, EventTime, en andere.
Output Opslaan: Zodra het script is voltooid, wordt de gegenereerde event log opgeslagen als een JSON-bestand met de naam servicenow_incident_event_log.json in dezelfde map. Dit bestand bevat een array van alle geëxtraheerde events.
Converteren naar CSV: Voor upload naar ProcessMind moet u mogelijk de uiteindelijke JSON-output converteren naar een CSV-bestand. Gebruik een standaard data tool of een eenvoudig script om de JSON array om te zetten in een tabellair CSV-formaat, zodat de kolomheaders overeenkomen met de vereiste attributes.

Configuratie

API Endpoint: Het script maakt gebruik van twee primaire ServiceNow Table API-endpoints:
- https://[Your ServiceNow Instance].service-now.com/api/now/table/incident
- https://[Your ServiceNow Instance].service-now.com/api/now/table/sys_audit
Authenticatie: Het meegeleverde script gebruikt Basic Authentication (gebruikersnaam en wachtwoord). Zorg ervoor dat de credentials van het serviceaccount correct zijn en het account actief is.
Datumfilter: De query filtert op de aanmaakdatum van het incident (sys_created_on). Dit wordt geconfigureerd via de startDate- en endDate-variabelen in het script. Het wordt aanbevolen om 3 tot 6 maanden aan data te extraheren voor een zinvolle analyse, maar begin met een kortere periode voor tests.
Belangrijke Queryparameters:
- sysparm_query: Wordt gebruikt om records te filteren. Het script construeert een gecodeerde query string om incidenten te filteren op aanmaakdatum.
- sysparm_fields: Specificeert welke kolommen moeten worden opgehaald, wat de API payload size vermindert en de performance verbetert.
- sysparm_limit: Regelt paginering door het aantal records per verzoek te definiëren. Het script gebruikt een limiet van 1000, wat een gangbare praktijk is.
- sysparm_offset: Wordt gebruikt in combinatie met sysparm_limit om volgende pagina's met data op te halen.
Prestatieoverwegingen: Het bevragen van de sys_audit tabel voor elk incident is resource-intensief. Voor zeer grote ServiceNow-instances kunt u overwegen de extractie buiten piekuren uit te voeren. Het script verwerkt incidenten sequentieel om de API niet te overbelasten, maar dit kan de totale uitvoeringstijd verlengen.
Vereisten: Een Node.js-omgeving is vereist om het script uit te voeren. De gebruiker of het serviceaccount dat de extractie uitvoert, moet de benodigde leesrechten (ACL's) hebben op de incident- en sys_audit-tabellen.

a Voorbeeldquery javascript

const axios = require('axios');
const fs = require('fs');

// --- Configuration ---
const INSTANCE_URL = 'https://[your-instance].service-now.com';
const USERNAME = '[your-username]';
const PASSWORD = '[your-password]';

// Define the date range for the extraction
const startDate = '2023-01-01 00:00:00';
const endDate = '2023-03-31 23:59:59';

const BATCH_SIZE = 1000; // Records per API call for incidents
const SOURCE_SYSTEM = 'ServiceNow';

// --- Main Extraction Logic ---
async function extractIncidentData() {
    const auth = { username: USERNAME, password: PASSWORD };
    const allEvents = [];
    let offset = 0;
    let hasMoreRecords = true;

    console.log(Starting extraction for incidents created between ${startDate} and ${endDate}...);

    while (hasMoreRecords) {
        try {
            // 1. Fetch a batch of incidents
            const incidentQuery = sys_created_on>=${startDate}^sys_created_on<=${endDate};
            const incidentFields = [
                'sys_id', 'number', 'sys_created_on', 'resolved_at', 'closed_at',
                'assigned_to', 'assignment_group', 'priority', 'incident_state',
                'state', 'sys_updated_on'
            ].join(',');

            console.log(Fetching incidents, offset: ${offset}...);
            const incidentResponse = await axios.get(${INSTANCE_URL}/api/now/table/incident, {
                auth,
                params: {
                    sysparm_query: incidentQuery,
                    sysparm_fields: incidentFields,
                    sysparm_limit: BATCH_SIZE,
                    sysparm_offset: offset
                }
            });

            const incidents = incidentResponse.data.result;
            if (incidents.length === 0) {
                hasMoreRecords = false;
                continue;
            }

            // 2. For each incident, fetch its audit trail and generate events
            for (const incident of incidents) {
                const lastDataUpdate = new Date().toISOString();

                // --- Explicit Events from Incident Table ---
                allEvents.push(createEvent(incident, 'Incident Created', incident.sys_created_on, lastDataUpdate));
                if (incident.resolved_at) {
                    allEvents.push(createEvent(incident, 'Resolution Proposed', incident.resolved_at, lastDataUpdate));
                }
                if (incident.closed_at) {
                    allEvents.push(createEvent(incident, 'Incident Closed', incident.closed_at, lastDataUpdate));
                }

                // --- Inferred Events from Audit Table ---
                const auditQuery = documentkey=${incident.sys_id};
                const auditFields = 'sys_created_on,fieldname,oldvalue,newvalue';
                const auditResponse = await axios.get(${INSTANCE_URL}/api/now/table/sys_audit, {
                    auth,
                    params: { sysparm_query: auditQuery, sysparm_fields: auditFields, sysparm_display_value: 'true' }
                });

                const auditRecords = auditResponse.data.result.sort((a, b) => new Date(a.sys_created_on) - new Date(b.sys_created_on));
                
                let isCategorized = false, isGroupAssigned = false, isAgentAssigned = false, isWorkStarted = false, isProblemLinked = false, isReopened = false;
                let lastPriority = null;
                
                for (const audit of auditRecords) {
                    const eventTime = audit.sys_created_on;
                    
                    if (!isCategorized && (audit.fieldname === 'category' || audit.fieldname === 'subcategory') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Categorized', eventTime, lastDataUpdate));
                        isCategorized = true;
                    }
                    if (!isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Group', eventTime, lastDataUpdate));
                        isGroupAssigned = true;
                    } else if (isGroupAssigned && audit.fieldname === 'assignment_group' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Assignment Group Changed', eventTime, lastDataUpdate));
                    }
                    if (!isAgentAssigned && audit.fieldname === 'assigned_to' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Assigned To Agent', eventTime, lastDataUpdate));
                        isAgentAssigned = true;
                    }
                    if (!isWorkStarted && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Work Started', eventTime, lastDataUpdate));
                        isWorkStarted = true;
                    }
                    if ((audit.fieldname === 'comments' || audit.fieldname === 'work_notes') && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Support Comment Added', eventTime, lastDataUpdate));
                    }
                    if (audit.fieldname === 'priority') {
                         const oldPriorityVal = parseInt(audit.oldvalue.match(/\d+/), 10);
                         const newPriorityVal = parseInt(audit.newvalue.match(/\d+/), 10);
                         if (lastPriority !== null && newPriorityVal < lastPriority) {
                             allEvents.push(createEvent(incident, 'Incident Escalated', eventTime, lastDataUpdate));
                         }
                         lastPriority = newPriorityVal;
                    }
                    if (!isProblemLinked && audit.fieldname === 'problem_id' && audit.newvalue) {
                        allEvents.push(createEvent(incident, 'Incident Linked To Problem', eventTime, lastDataUpdate));
                        isProblemLinked = true;
                    }
                    if ((audit.fieldname === 'state' || audit.fieldname === 'incident_state') && audit.newvalue.toLowerCase().includes('awaiting')) {
                         allEvents.push(createEvent(incident, 'Awaiting User Confirmation', eventTime, lastDataUpdate));
                    }
                    if (!isReopened && (audit.fieldname === 'state' || audit.fieldname === 'incident_state') && (audit.oldvalue.toLowerCase().includes('resolved') || audit.oldvalue.toLowerCase().includes('closed')) && audit.newvalue.toLowerCase().includes('progress')) {
                        allEvents.push(createEvent(incident, 'Incident Reopened', eventTime, lastDataUpdate));
                        isReopened = true; 
                    }
                }
            }

            offset += BATCH_SIZE;
            console.log(Processed ${incidents.length} incidents. Total events so far: ${allEvents.length});

        } catch (error) {
            console.error('An error occurred:', error.response ? error.response.data : error.message);
            hasMoreRecords = false; // Stop on error
        }
    }

    // 3. Save results to a file
    fs.writeFileSync('servicenow_incident_event_log.json', JSON.stringify(allEvents, null, 2));
    console.log(Extraction complete. ${allEvents.length} events saved to servicenow_incident_event_log.json);
}

// --- Helper Function to create a standard event object ---
function createEvent(incident, activityName, eventTime, lastDataUpdate) {
    return {
        IncidentId: incident.number,
        ActivityName: activityName,
        EventTime: eventTime,
        SourceSystem: SOURCE_SYSTEM,
        LastDataUpdate: lastDataUpdate,
        AssignedTo: incident.assigned_to.display_value || '',
        AssignmentGroup: incident.assignment_group.display_value || '',
        Priority: incident.priority.display_value || '',
        IncidentState: incident.incident_state.display_value || incident.state.display_value || ''
    };
}

// --- Run the script ---
extractIncidentData();

Stappen

Voorwaarden: Zorg ervoor dat Python 3.6+ op uw systeem is geïnstalleerd. Installeer de benodigde bibliotheken met pip: pip install requests pandas.
ServiceNow Configuratie: Maak in ServiceNow een speciale serviceaccount aan voor deze extractie. Geef deze gebruiker de rollen itil en rest_api_explorer om ervoor te zorgen dat deze leesrechten heeft voor de benodigde tabellen (incident, sys_audit, sys_journal_field).
Script Configureren: Open het meegeleverde Python-script. Zoek bovenaan het configuratiegedeelte en vervang de placeholderwaarden voor SNOW_INSTANCE, SNOW_USER en SNOW_PASSWORD door de URL van uw ServiceNow-instantie en de inloggegevens van de serviceaccount. Pas de START_DATE en END_DATE aan om de gewenste extractieperiode te definiëren.
Script Uitvoeren: Voer het script uit vanaf uw opdrachtregel met python your_script_name.py. Het script zal authenticeren met ServiceNow en API-aanroepen doen.
Data Ophalen: Het script haalt eerst een lijst op van alle incidents die binnen de opgegeven periode zijn aangemaakt vanuit de incident-tabel. Vervolgens gebruikt het deze lijst met incident-ID's om alle gerelateerde auditgeschiedenis van sys_audit en alle opmerkingen van sys_journal_field op te halen.
Event Log Generatie: Het script verwerkt de ruwe data in het geheugen. Het doorloopt de vooraf gedefinieerde activities en genereert voor elk een aparte set rijen. Het identificeert bijvoorbeeld de 'Incident Created' event uit het sys_created_on veld en de 'Incident Closed' event uit het closed_at veld. Voor andere events analyseert het de audit log om statusovergangen, veldwijzigingen en escalaties te bepalen.
Attribuut Mapping: Voor elke gegenereerde eventrij voert het script een lookup uit om deze te verrijken met contextuele attributes uit het hoofdincidentrecord, zoals de AssignmentGroup, AssignedTo, Priority en IncidentState op het moment van de event.
Data Consolidatie: Alle individuele event DataFrames (één voor elk activity type) worden gecombineerd tot één enkele, uitgebreide event log DataFrame.
Finale Transformatie: Het geconsolideerde DataFrame wordt gesorteerd op IncidentId en EventTime om de juiste chronologische volgorde van events voor elke case te waarborgen. De SourceSystem en LastDataUpdate kolommen worden toegevoegd met statische waarden.
Exporteren naar CSV: De uiteindelijke event log wordt opgeslagen als servicenow_incident_event_log.csv in dezelfde map waar het script is uitgevoerd. Dit bestand is klaar voor upload naar process mining software.

Configuratie

ServiceNow Instance (SNOW_INSTANCE): De volledige URL van uw ServiceNow-instance, bijvoorbeeld, https://yourcompany.service-now.com.
Credentials (SNOW_USER, SNOW_PASSWORD): Authenticatiegegevens voor het serviceaccount. Voor productieomgevingen kunt u overwegen OAuth of token-gebaseerde authenticatie te gebruiken in plaats van basisauthenticatie.
Datumbereik (START_DATE, END_DATE): Definieert het tijdsvenster voor de extractie, gebaseerd op de aanmaakdatum van het incident. Een bereik van 3-6 maanden wordt aanbevolen voor een initiële analyse, om een goede balans te vinden tussen het datavolume en de diepgang van de inzichten. Grotere bereiken zullen de extractietijd aanzienlijk verlengen.
API Queryparameters (sysparm_query): Het script gebruikt een sysparm_query om incidenten te filteren op hun aanmaakdatum (sys_created_on). U kunt hier meer voorwaarden toevoegen om de reikwijdte te verfijnen, bijvoorbeeld active=false^company=[Your Company Sys ID] om alleen gesloten incidenten voor een specifiek bedrijf te extraheren.
API Rate Limiting: Houd rekening met de API rate limits van ServiceNow. Het script verwerkt paginering, maar bevat geen expliciete rate limit-afhandeling. Voor zeer grote instances moet u mogelijk time.sleep()-aanroepen toevoegen tussen verzoeken om overschrijding van limieten te voorkomen.
Vereiste Rechten: De gespecificeerde gebruiker moet leesrechten (ACL's) hebben tot de incident-, sys_audit- en sys_journal_field-tabellen. De itil-rol biedt dit doorgaans, maar uw instance kan aangepaste toegangscontroles hebben.

a Voorbeeldquery python

import requests
import pandas as pd
from datetime import datetime
import getpass

class=class="hl-string">"hl-comment"># --- Configuration ---
class=class="hl-string">"hl-comment"># Replace with your ServiceNow instance URL, e.g., class="hl-string">'https://yourinstance.service-now.com'
SNOW_INSTANCE = class="hl-string">"[Your ServiceNow Instance URL]"
class=class="hl-string">"hl-comment"># Replace with your ServiceNow user. Consider using a dedicated service account.
SNOW_USER = class="hl-string">"[Your Username]"
class=class="hl-string">"hl-comment"># It's recommended to use a secure way to handle passwords, like environment variables or a secrets manager.
class=class="hl-string">"hl-comment"># getpass is used here for interactive entry to avoid hardcoding.
SNOW_PASSWORD = getpass.getpass(class="hl-string">"Enter ServiceNow Password: ")

class=class="hl-string">"hl-comment"># Define the date range for the extraction (YYYY-MM-DD format)
START_DATE = class="hl-string">"2023-01-01"
END_DATE = class="hl-string">"2023-06-30"

SOURCE_SYSTEM_NAME = class="hl-string">"ServiceNow"

class=class="hl-string">"hl-comment"># --- Helper Function for Paginated API Calls ---
def fetch_all_records(url, headers, params):
    class="hl-string">"""Fetches all records from a paginated ServiceNow API endpoint."""
    all_records = []
    offset = 0
    limit = 1000
    while True:
        params[class="hl-string">'sysparm_offset'] = offset
        params[class="hl-string">'sysparm_limit'] = limit
        response = requests.get(url, headers=headers, params=params)
        response.raise_for_status() class=class="hl-string">"hl-comment"># Raises an exception for bad status codes
        data = response.json().get(class="hl-string">'result', [])
        if not data:
            break
        all_records.extend(data)
        offset += len(data)
        print(fclass="hl-string">"Fetched {len(all_records)} records so far...")
    return all_records

class=class="hl-string">"hl-comment"># --- Main Script ---
if __name__ == class="hl-string">"__main__":
    auth = (SNOW_USER, SNOW_PASSWORD)
    headers = {class="hl-string">"Accept": class="hl-string">"application/json"}
    last_data_update = datetime.utcnow().isoformat() + class="hl-string">"Z"

    class=class="hl-string">"hl-comment"># 1. Fetch base Incident Data
    print(class="hl-string">"\n--- Fetching Incident Data ---")
    incident_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/incident"
    incident_query = fclass="hl-string">"sys_created_on>={START_DATE} 00:00:00^sys_created_on<={END_DATE} 23:59:59"
    incident_params = {
        class="hl-string">'sysparm_query': incident_query,
        class="hl-string">'sysparm_fields': class="hl-string">'sys_id,number,sys_created_on,closed_at,opened_at,priority,state,assignment_group,assigned_to,problem_id'
    }
    incidents_raw = fetch_all_records(incident_url, headers, auth, incident_params)
    incidents_df = pd.DataFrame(incidents_raw)
    
    if incidents_df.empty:
        print(class="hl-string">"No incidents found for the given date range. Exiting.")
        exit()

    class=class="hl-string">"hl-comment"># Map sys_id to readable values for easier processing later
    for col in [class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'problem_id']:
        if col in incidents_df.columns:
            incidents_df[col] = incidents_df[col].apply(lambda x: x[class="hl-string">'display_value'] if isinstance(x, dict) and x else None)
            
    incident_sys_ids = class="hl-string">','.join(incidents_df[class="hl-string">'sys_id'].unique())

    class=class="hl-string">"hl-comment"># 2. Fetch Audit (sys_audit) Data for these incidents
    print(class="hl-string">"\n--- Fetching Audit Data ---")
    audit_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_audit"
    audit_query = fclass="hl-string">"documentkeyIN{incident_sys_ids}"
    audit_params = {
        class="hl-string">'sysparm_query': audit_query,
        class="hl-string">'sysparm_fields': class="hl-string">'documentkey,sys_created_on,fieldname,oldvalue,newvalue'
    }
    audit_raw = fetch_all_records(audit_url, headers, auth, audit_params)
    audit_df = pd.DataFrame(audit_raw)
    audit_df.rename(columns={class="hl-string">'documentkey': class="hl-string">'sys_id'}, inplace=True)

    class=class="hl-string">"hl-comment"># 3. Fetch Journal (comments) Data for these incidents
    print(class="hl-string">"\n--- Fetching Journal/Comment Data ---")
    journal_url = fclass="hl-string">"{SNOW_INSTANCE}/api/now/table/sys_journal_field"
    journal_query = fclass="hl-string">"element_idIN{incident_sys_ids}^element=work_notes,comments"
    journal_params = {
        class="hl-string">'sysparm_query': journal_query,
        class="hl-string">'sysparm_fields': class="hl-string">'element_id,sys_created_on'
    }
    journal_raw = fetch_all_records(journal_url, headers, auth, journal_params)
    journal_df = pd.DataFrame(journal_raw)
    journal_df.rename(columns={class="hl-string">'element_id': class="hl-string">'sys_id'}, inplace=True)

    print(class="hl-string">"\n--- Processing Data and Generating Event Log ---")
    event_log_frames = []

    class=class="hl-string">"hl-comment"># Merge incident details into audit and journal logs for context
    incidents_context_df = incidents_df[[class="hl-string">'sys_id', class="hl-string">'number', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    incidents_context_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId'}, inplace=True)

    if not audit_df.empty:
        audit_df = pd.merge(audit_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')
    if not journal_df.empty:
        journal_df = pd.merge(journal_df, incidents_context_df, on=class="hl-string">'sys_id', how=class="hl-string">'left')

    class=class="hl-string">"hl-comment"># Activity: Incident Created
    created_df = incidents_df[[class="hl-string">'number', class="hl-string">'sys_created_on', class="hl-string">'assignment_group', class="hl-string">'assigned_to', class="hl-string">'priority', class="hl-string">'state']].copy()
    created_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Created'
    created_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'sys_created_on': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(created_df)

    class=class="hl-string">"hl-comment"># Activity: Incident Closed
    closed_df = incidents_df[incidents_df[class="hl-string">'closed_at'].notna() & (incidents_df[class="hl-string">'closed_at'] != class="hl-string">'')].copy()
    closed_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Closed'
    closed_df.rename(columns={class="hl-string">'number': class="hl-string">'IncidentId', class="hl-string">'closed_at': class="hl-string">'EventTime', class="hl-string">'assignment_group': class="hl-string">'AssignmentGroup', class="hl-string">'assigned_to': class="hl-string">'AssignedTo', class="hl-string">'priority': class="hl-string">'Priority', class="hl-string">'state': class="hl-string">'IncidentState'}, inplace=True)
    event_log_frames.append(closed_df.drop(columns=[class="hl-string">'sys_created_on']))

    class=class="hl-string">"hl-comment"># Process audit data for remaining activities
    if not audit_df.empty:
        audit_df.sort_values(by=[class="hl-string">'sys_id', class="hl-string">'sys_created_on'], inplace=True)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Categorized (first change to category, subcategory, or priority)
        categorized_fields = [class="hl-string">'category', class="hl-string">'subcategory', class="hl-string">'priority']
        categorized_df = audit_df[audit_df[class="hl-string">'fieldname'].isin(categorized_fields)].copy()
        categorized_df = categorized_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        categorized_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Categorized'
        event_log_frames.append(categorized_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Group
        assign_group_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assignment_group') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_group_first_df = assign_group_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_group_first_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Group'
        event_log_frames.append(assign_group_first_df)
        
        class=class="hl-string">"hl-comment"># Activity: Assignment Group Changed (subsequent changes)
        assign_group_changed_df = assign_group_df.loc[assign_group_df.index.difference(assign_group_first_df.index)]
        assign_group_changed_df[class="hl-string">'ActivityName'] = class="hl-string">'Assignment Group Changed'
        event_log_frames.append(assign_group_changed_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Assigned To Agent
        assign_agent_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'assigned_to') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        assign_agent_df = assign_agent_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        assign_agent_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Assigned To Agent'
        event_log_frames.append(assign_agent_df)

        class=class="hl-string">"hl-comment"># Activity: Work Started (State changed to In Progress)
        work_started_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: The class="hl-string">'newvalue' for state is often a numeric ID. Common value for class="hl-string">'In Progress' is class="hl-string">'2'. Adjust if needed.
        work_started_df = work_started_df[work_started_df[class="hl-string">'newvalue'].isin([class="hl-string">'2', class="hl-string">'In Progress', class="hl-string">'Work in Progress'])]
        work_started_df = work_started_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        work_started_df[class="hl-string">'ActivityName'] = class="hl-string">'Work Started'
        event_log_frames.append(work_started_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Escalated (Priority increases)
        priority_map = {class="hl-string">'1 - Critical': 1, class="hl-string">'2 - High': 2, class="hl-string">'3 - Moderate': 3, class="hl-string">'4 - Low': 4, class="hl-string">'5 - Planning': 5}
        escalated_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'priority'].copy()
        escalated_df[class="hl-string">'old_priority_val'] = escalated_df[class="hl-string">'oldvalue'].map(priority_map)
        escalated_df[class="hl-string">'new_priority_val'] = escalated_df[class="hl-string">'newvalue'].map(priority_map)
        escalated_df.dropna(subset=[class="hl-string">'old_priority_val', class="hl-string">'new_priority_val'], inplace=True)
        escalated_df = escalated_df[escalated_df[class="hl-string">'new_priority_val'] < escalated_df[class="hl-string">'old_priority_val']]
        escalated_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Escalated'
        event_log_frames.append(escalated_df)
        
        class=class="hl-string">"hl-comment"># Activity: Incident Linked To Problem
        linked_problem_df = audit_df[(audit_df[class="hl-string">'fieldname'] == class="hl-string">'problem_id') & (audit_df[class="hl-string">'newvalue'].notna())].copy()
        linked_problem_df = linked_problem_df.drop_duplicates(subset=[class="hl-string">'sys_id'], keep=class="hl-string">'first')
        linked_problem_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Linked To Problem'
        event_log_frames.append(linked_problem_df)
        
        class=class="hl-string">"hl-comment"># Activity: Resolution Proposed (State changed to Resolved)
        resolved_df = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        class=class="hl-string">"hl-comment"># Note: Common value for class="hl-string">'Resolved' is class="hl-string">'6'. Adjust if needed.
        resolved_df = resolved_df[resolved_df[class="hl-string">'newvalue'].isin([class="hl-string">'6', class="hl-string">'Resolved'])]
        resolved_df[class="hl-string">'ActivityName'] = class="hl-string">'Resolution Proposed'
        event_log_frames.append(resolved_df)
        
        class=class="hl-string">"hl-comment"># Activity: Awaiting User Confirmation (State changed to Awaiting User Info, after resolved)
        class=class="hl-string">"hl-comment"># This logic is complex and dependent on workflow. A simplified version is shown.
        state_changes = audit_df[audit_df[class="hl-string">'fieldname'] == class="hl-string">'state'].copy()
        state_changes[class="hl-string">'prev_state'] = state_changes.groupby(class="hl-string">'sys_id')[class="hl-string">'oldvalue'].shift(-1)
        awaiting_df = state_changes[
            (state_changes[class="hl-string">'newvalue'].isin([class="hl-string">'Awaiting User Info', class="hl-string">'3'])) & 
            (state_changes[class="hl-string">'oldvalue'].isin([class="hl-string">'Resolved', class="hl-string">'6']))
        ].copy()
        awaiting_df[class="hl-string">'ActivityName'] = class="hl-string">'Awaiting User Confirmation'
        event_log_frames.append(awaiting_df)

        class=class="hl-string">"hl-comment"># Activity: Incident Reopened
        reopened_df = audit_df[
            (audit_df[class="hl-string">'fieldname'] == class="hl-string">'state') & 
            (audit_df[class="hl-string">'oldvalue'].isin([class="hl-string">'6', class="hl-string">'7', class="hl-string">'Resolved', class="hl-string">'Closed']))
        ].copy()
        reopened_df[class="hl-string">'ActivityName'] = class="hl-string">'Incident Reopened'
        event_log_frames.append(reopened_df)
        
    class=class="hl-string">"hl-comment"># Activity: Support Comment Added
    if not journal_df.empty:
        comment_df = journal_df.copy()
        comment_df[class="hl-string">'ActivityName'] = class="hl-string">'Support Comment Added'
        event_log_frames.append(comment_df)

    class=class="hl-string">"hl-comment"># 4. Consolidate all event dataframes
    print(class="hl-string">"\n--- Consolidating Final Event Log ---")
    final_log = pd.DataFrame()
    for df in event_log_frames:
        if class="hl-string">'sys_created_on' in df.columns:
             df.rename(columns={class="hl-string">'sys_created_on': class="hl-string">'EventTime'}, inplace=True)
        if class="hl-string">'IncidentId' not in df.columns:
            continue class=class="hl-string">"hl-comment"># Skip frames that couldn't be processed
        
        common_cols = {
            class="hl-string">'IncidentId': None,
            class="hl-string">'ActivityName': None,
            class="hl-string">'EventTime': None,
            class="hl-string">'AssignedTo': None,
            class="hl-string">'AssignmentGroup': None,
            class="hl-string">'Priority': None,
            class="hl-string">'IncidentState': None
        }
        
        class=class="hl-string">"hl-comment"># Select and reorder columns, filling missing ones with None
        current_cols = {col: None for col in common_cols.keys()}
        df_subset = df[list(set(df.columns) & set(common_cols.keys()))].copy()
        final_log = pd.concat([final_log, df_subset], ignore_index=True)

    class=class="hl-string">"hl-comment"># 5. Final Cleaning and Formatting
    final_log.dropna(subset=[class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime'], inplace=True)
    final_log[class="hl-string">'EventTime'] = pd.to_datetime(final_log[class="hl-string">'EventTime'])
    final_log.sort_values(by=[class="hl-string">'IncidentId', class="hl-string">'EventTime'], inplace=True)
    
    final_log[class="hl-string">'SourceSystem'] = SOURCE_SYSTEM_NAME
    final_log[class="hl-string">'LastDataUpdate'] = last_data_update
    
    class=class="hl-string">"hl-comment"># Reorder columns to the desired format
    final_log = final_log[[
        class="hl-string">'IncidentId', class="hl-string">'ActivityName', class="hl-string">'EventTime', class="hl-string">'SourceSystem', class="hl-string">'LastDataUpdate', 
        class="hl-string">'AssignedTo', class="hl-string">'AssignmentGroup', class="hl-string">'Priority', class="hl-string">'IncidentState'
    ]]

    class=class="hl-string">"hl-comment"># 6. Save to CSV
    output_filename = class="hl-string">'servicenow_incident_event_log.csv'
    final_log.to_csv(output_filename, index=False, date_format=class="hl-string">'%Y-%m-%dT%H:%M:%S.%f')
    print(fclass="hl-string">"\nSuccessfully extracted {len(final_log)} events for {final_log['IncidentId'].nunique()} incidents.")
    print(fclass="hl-string">"Event log saved to {output_filename}")

Data Template: Incident Management

Uw Incident Management-datatemplate

Incident Management attributen

Incident Management activiteiten

Extractie Guides

Directe extractie via ServiceNow Table REST API

Stappen

Configuratie

a Voorbeeldquery javascript

Python-scriptextractie met ServiceNow REST API

Stappen

Configuratie

a Voorbeeldquery python

Klaar om te starten?

Los incidenten sneller op: Verhoog ServiceNow-efficiëntie nu