Crie mapeamentos de campo de evento

Zurich IT Operations Management

Release

zurich

ft:locale

pt-BR

ft:publication_title

Zurich IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Crie mapeamentos de campo de evento

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

15 min. de leitura

Use mapeamentos de campo de evento para mapear valores de campos de evento específicos para valores em outros campos para fornecer informações mais abrangentes em um alerta. Use integrações baseadas em equipe em regras de evento para garantir que a propriedade do conector e a execução das regras deem precedência às regras globais. As equipes podem manter a consistência e a hierarquia, oferecendo flexibilidade e opções de personalização.

Antes de Iniciar

Função necessária: evt_mgmt_admin

Por Que e Quando Desempenhar Esta Tarefa

Crie a regra para corresponder ao evento por sua classe e valores originais. Especifique os novos valores para substituir os valores originais no evento.

Procedimento

Navegar até Tudo > Gestão de eventos > Regras > Mapeamento de Campo de Evento.

Selecione Novo ou abra uma regra existente para editar e preencher os campos.

Tabela 1. Formulário Mapeamento de campo de evento
Campo	Descrição
Nome	Nome do mapeamento do campo de evento.
Origem	Software de monitoramento de eventos que gerou o evento, como SolarWinds ou SCOM. Tamanho máximo: 100 caracteres.
Ordem	Número para definir a ordem na qual esta ação deve ser processada. As ações com números mais baixos são processadas primeiro.
Grupo de atribuição	Para integrações baseadas em equipe, selecione um grupo de atribuição. Se nenhum grupo de atribuição for definido na regra de mapeamento de campo de evento, essa regra será considerada global. Quando as regras estão em execução - Primeiro, as regras globais são executadas e, em seguida, as regras que pertencem ao grupo de atribuição ao qual a instância de origem do evento pertence.
Tipo de mapeamento	Mecanismo de mapeamento usado para mudar um valor de campo de evento. Mapear campo e valor de transformação (campo único) : Mapeia o. Campo de origem valor correspondente em Pares de valor de transformação tabela [em_mapping_pair] e preencha . . Campo de destino . Os campos de Origem e Destino podem ser campos de evento, campos de informações adicionais ou marcadores de alerta. Criar ou atualizar campo e definir valor da constante (constante) : Define um valor constante como A. Campo de destino . . Campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta. Campo de mapa (Copiar campo) : Copia o valor exato de um Campo de origem Para o campo Destino especificado. Os campos Origem e Destino podem ser E Campo de ventilação, Campo de informações adicionais ou marcadores de alerta. Mapear campo e valor de transformação usando regex : Mapeia genericamente o valor do campo Origem para o valor correspondente na tabela Transformar pares de valores e preenche o. Campo de destino . Os campos de Origem e Destino podem ser campos de evento, informações adicionais ou marcadores de alerta. Mapear campo usando regex : Copia o valor de um definido genericamente Campo de origem para Campo de destino . O campo Origem deve ser um campo do campo Informações adicionais do evento. O campo Destino pode ser o campo de evento, informações adicionais ou marcador de alerta. Com este tipo, você pode encontrar genericamente o nome do campo Origem usando uma expressão regular (regex). Mapear campo e copiar valor do grupo regex : Copia parte do valor do campo Origem para o campo Destino. Os campos de Origem e Destino podem ser campos de evento, campos de informações adicionais ou marcadores de alerta. Defina um regex para especificar qual parte do Campo de origem deve ser copiado. Mapeamento avançado usando script : Implementar . sua própria lógica para transformação de valores de evento usando um script. Quando a caixa de seleção "Executar após vinculação" é marcada, a regra é executada após a fase de vinculação de IC e usa o script dedicado que também tem o sys_id do IC nos parâmetros de entrada. Aviso: Scripts complexos podem afetar o desempenho do processamento de eventos. Mapear campo da tabela de referência Use este tipo de regra para extrair um Campo de origem valor do selecionado Tabela de referência correspondendo a. Campo a ser correspondido valor para Campo de alerta correspondente e, em seguida, mapeando o. Campo de origem valor para Campo de destino . . Campo de alerta correspondente e o. Campo de destino pode ser campos de evento, campos de informações adicionais ou marcadores de alerta.
Filtrar	Uma condição para mapeamento de campo de evento. Selecione Adicionar condição de filtro ou Adicione cláusula "OR" para configurar várias condições. Nota: O filtro diferencia maiúsculas de minúsculas.
Ativo	Ativa ou desativa o mapeamento do campo de evento. Se possível, localize e aplique outra regra de mapeamento de campo de evento.
Executar após a vinculação	Quando selecionada, a regra é executada após a fase de vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. Para recuperar um campo do registro de IC. Por exemplo: Use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. A referência com pontos para um registro relacionado também é possível. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. Para recuperar um valor da tabela Marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription notes. Aviso : Usar o recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos. Nota: Esta caixa de seleção é exibida somente para os seguintes tipos de mapeamento: Mapear campo e valor de transformação (campo único) , Campo de mapa (Copiar campo) , Mapear campo e valor de transformação usando regex , Mapear campo e copiar valor do grupo regex e Mapear campo da tabela de referência .

Se você selecionou Mapear campo e valor de transformação (campo único) preencha os campos conforme apropriado.

Tabela 2. Campos Campo de mapeamento e Valor de transformação (campo único)
Campo	Descrição
Campo de origem	Campo de evento a ser mapeado - Inclui todos os campos de evento e informações adicionais. Observação: Para campos de informações adicionais, use: "Additional_info.<field name>". Quando a caixa de seleção "Executar após vinculação" estiver marcada, você poderá usar alert_cmdb_ci e o. alert_cmdb_ci_key Prefixos para receber dados relacionados ao IC.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. Quando este campo é idêntico ao Campo de origem , a regra de mapeamento atualiza o valor na memória do campo evento. Marcadores de alerta também podem ser definidos usando <t_>prefixo.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo a seguir para recuperar valores do registro de IC: alert_cmdb_ci. Para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. A referência com pontos para um registro relacionado também é possível. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. Para recuperar um valor da tabela Marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription notes. Aviso : Usar o recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Tabela 3. Campos-chave (seção Transformar pares de valor)
Campo	Descrição
Chave	Valor que a regra de mapeamento pesquisa. Sempre que o campo Evento tiver esse valor, a regra de mapeamento adicionará o valor listado em Campo de origem para o campo listado em Campo de destino . Este campo é exibido quando Tipo de mapeamento . Mapear campo e valor de transformação (campo único) . Selecione . para adicionar mais Chave campos, conforme necessário.

Caso de uso típico: Para mapear o campo "event_severity" no campo de informações adicionais com valores possíveis [como AVISO, SECUNDÁRIO, CRÍTICO, CLARO, GRAVE] para o campo Severidade, configure o seguinte:

Campo de origem: 'Event_severity'
Campo de destino: 'Everity'
Pares de valor de transformação:
- Valor de origem: 'AVISO', valor de destino: '4'
- Valor de origem: 'SECUNDÁRIO', valor de destino: '3'
- e assim por diante...

Se você selecionou Criar ou atualizar campo e definir valor da constante (constante) preencha os campos conforme apropriado.

Tabela 4. Crie ou atualize o campo e defina campos de valor constante (constante)
Campo	Descrição
Campo de destino	. Campo de destino um campo de evento, campo de informações adicionais ou marcador de alerta. Caso de uso típico: Defina a gravidade do alerta como 1 para todos os eventos que correspondem ao filtro.
Valor	Valor que você deseja usar para Campo Para . Este campo é exibido quando Tipo de mapeamento . Constante .

Caso de uso típico: Defina a severidade do alerta como 1 para todos os eventos que correspondem ao filtro.

Se você selecionou Campo de mapa (Copiar campo) preencha os campos conforme apropriado.

Tabela 5. Campos de campo de mapa (Copiar campo)
Campo	Descrição
Campo de origem	Campo de origem valor a ser copiado para Campo de destino campo. . Campo de origem pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. . Campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. Para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. A referência com pontos para um registro relacionado também é possível. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. Para recuperar um valor da tabela Marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription notes. Aviso : Usar o recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Caso de uso típico: Para copiar o campo IP do campo de informações adicionais do evento para o nó do campo de alerta , use o seguinte:

"Campo de origem": ip
"Campo de destino": Nó

Se você selecionou Mapear campo e valor de transformação usando regex preencha os campos conforme apropriado.

Tabela 6. Campo de mapa e valor de transformação usando regex
Campo	Descrição
Campo de origem	Valor do campo de origem a ser copiado para Campo de destino campo. . Campo de origem pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. . Campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. Para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. A referência com pontos para um registro relacionado também é possível. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. Para recuperar um valor da tabela Marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription notes. Aviso : Usar o recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Caso de uso típico: Para mapear a gravidade da cor do campo no campo Informações adicionais para o campo Severidade, use:

Campo de origem: 'Cor'
Campo de destino: 'Everity'
Pares de valor de transformação:
- Valor de origem: '.*red', até o valor: '1'. Isso abrange "vermelho escuro", "vermelho claro" e outros valores que contenham "vermelho" e mapeia todos para "1".
- e assim por diante...

Tabela 7. Campos-chave (seção Transformar pares de valor)
Campo	Descrição
Chave	Valor que a regra de mapeamento pesquisa. Sempre que o campo Evento tiver esse valor, a regra de mapeamento adicionará o valor listado em Campo de origem para o campo listado em Campo de destino . Este campo é exibido quando Tipo de mapeamento . Mapear campo e valor de transformação (campo único) . Selecione . para adicionar mais Chave campos, conforme necessário.

Se você selecionou Mapear campo usando regex preencha os campos conforme apropriado.

Tabela 8. Mapear campo usando campos regex
Campo	Descrição
Campo de origem	Valor do campo Origem definido genericamente a ser copiado para Campo de destino campo. . Campo de origem deve ser um campo do campo de informações adicionais do evento. Com este tipo, você pode encontrar genericamente o nome do campo Origem usando uma expressão regular (regex).
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. . Campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.

Caso de uso típico: Para mapear o campo "region" do campo additional_info que aparece como "tags.region", "tags|region" ou "cloud.region" para um marcador de alerta t_region, usar:

"Campo de origem": *Região
"Campo de destino": t_region

Se você selecionou Mapear campo e copiar valor do grupo regex preencha os campos, conforme apropriado.

Tabela 9. Mapear campo e copiar valor dos campos do grupo regex
Campo	Descrição
Campo de origem	Valor do campo Origem definido genericamente a ser copiado para Campo de destino campo. O campo Origem deve ser um campo do campo Informações adicionais do evento. Com este tipo, você pode encontrar genericamente o nome do campo Origem usando uma expressão regular (regex).
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. . Campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. Para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. A referência com pontos para um registro relacionado também é possível. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. Para recuperar um valor da tabela Marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription notes. Aviso : Usar o recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.
Expressão do grupo Regex	._._(.)_.

Caso de uso típico: Para extrair o terceiro octeto do IP e salvá-lo nas informações adicionais third_octetcampo , usar:

"Campo de origem": ip
"Campo de destino": Third_octet
"Expressão do grupo regex": .*_.*_(.*)_.*

Se você selecionou Mapeamento avançado usando script preencha os campos conforme apropriado.

Tabela 10. Mapeamento avançado usando campos de script
Campo	Descrição
Script	O editor de código oferece suporte ao editor de texto para scripts em linha. O editor de código tem estes recursos para os serviços de idioma compatíveis e scripts em linha: Coloração de sintaxe, recuo, números de linha e criação automática de chaves de fechamento e aspas, sugestões automáticas e conclusões automáticas. Editando dicas : Para inserir um espaço fixo em qualquer lugar do seu código, pressione Guia chave. Para recuar uma única linha de código, selecione no espaço em branco inicial da linha e pressione Tab. Para recuar uma ou mais linhas de código, selecione o código e pressione Tab. Para diminuir o recuo, pressione Shift e Tab. Para remover uma guia do início de uma linha de código, selecione na linha e pressione Shift e Tab. Para declarar variáveis, use a palavra-chave var para que elas permaneçam dentro do escopo JavaScript apropriado.
Executar após a vinculação	Quando a caixa de seleção "Executar após vinculação" é marcada, a regra é executada após a fase de vinculação de IC e usa o script dedicado que também tem o sys_id do IC nos parâmetros de entrada. Aviso: Scripts complexos podem afetar o desempenho do processamento de eventos.

Se você selecionou Mapear campo da tabela de referência preencha os campos conforme apropriado.

Tabela 11. Mapear campo dos campos da tabela de referência
Campo	Descrição
Tabela de referência	A tabela de referência. Selecione a tabela da qual o campo será mapeado para o campo Destino no evento.
Campo a ser correspondido	O campo da tabela de referência a ser correspondido ao campo de alerta correspondente do evento. Ele é usado para filtrar os registros da tabela de referência.
Campo de origem	Campo de origem valor a ser copiado para Campo de destino campo. . Campo de origem É o campo da tabela que foi selecionada como a tabela de referência.
Campo de alerta correspondente	Campo de evento para encontrar registros da tabela de referência correspondentes. . Campo de alerta correspondente corresponde a Campo a ser correspondido campo. O campo Alerta correspondente pode ser o campo Evento, o campo Informações adicionais ou o marcador Alerta.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. . Campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. Em Campo de alerta correspondente , Para recuperar um valor de um campo de um registro de IC. Por exemplo: "Alert_cmdb_ci.ip_address" recupera informações de endereço IP de ICs vinculados. . Campo de alerta correspondente e o. Campo a ser correspondido campos são campos de referência, referência com referência com pontos para sys_id no Campo de alerta correspondente é obrigatório. Por exemplo, para usar o valor "assignment_group" de ICs vinculados para corresponder ao Campo a ser correspondido use a seguinte expressão no Campo de alerta correspondente : alert_cmdb_ci.assignment_group.sys_id alert_cmdb_ci_key. Para recuperar um valor da tabela Marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription notes. Aviso : Usar o recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Caso de uso típico: Extraia "short_description" dos registros "pc_vendor_cat_item" correspondentes ao campo "name" com o campo "cat_item_name" no campo "Informações adicionais" do evento e mapeie-o para o campo "escrição" no evento nos seguintes campos:

"Tabela de referência": pc_vendor_cat_item
"Campo a ser correspondido": Nome
"Campo de origem": Short_description
"Campo de alerta correspondente": cat_item_name
"Campo de destino": Descrição

Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
Selecione Enviar.

Exemplo

Os valores a seguir compreendem uma regra predefinida que é aplicada a eventos no Interceptação da empresa 9 classe. Se os eventos contiverem SnmpTrapOID elemento com um valor de iso.org.dod.internet.private.enterprises.cisco.0.0 , a regra de mapeamento muda o valor para recarregar nos alertas. Se os eventos contiverem SnmpTrapOID elemento, um valor de iso.org.dod.internet.private.enterprises.cisco.0.1 , a regra de mapeamento muda o valor para TcpConnectionClose nos alertas.


Campo	Valores
Nome	cisco.snmpTrapOID
Origem	Interceptação da empresa 9
Tipo de mapeamento	Mapear campo e valor de transformação (campo único).
Campo de origem	SnmpTrapOID
Campo de destino	SnmpTrapOID
Pares de valor de transformação	Par 1 Chave : iso.org.dod.internet.private.enterprises.cisco.0.0 Valor recarrega Par 2 Chave : iso.org.dod.internet.private.enterprises.cisco.0.1 Valor TcpConnectionClose

O que Fazer Depois

Teste um mapeamento de campo de evento enviando um evento que inclua um campo presente no mapeamento de campo de evento.