Exemplo: Normalização de campo na gestão de alertas

Em alguns casos, as mesmas informações podem existir em nomes de campos diferentes nas fontes de dados. Por exemplo, um evento de entrada de uma origem tem o local armazenado no campo região , mas em outra origem, as mesmas informações são capturadas em impacted_region . Para evitar confusão e permitir agrupamento, filtragem ou automação consistentes, normalizamos esses campos criando um campo unificado, por exemplo, t_region . Este campo extrai o valor de região ou de impacted_region dependendo do campo presente no evento. Desta forma, o campo normalizado t_region sempre mantém o valor do local de maneira consistente, independentemente do campo de origem original.

O campo Marcadores de alerta aparece no formulário Alertas. Esses marcadores são criados por Regras de evento e no mapeamento de eventos e são salvos na tabela de marcadores de alerta [em_alert_tags] . A convenção de nomenclatura usada para criar pares de chave/valor é t_<tag name>. ​Isso permite a reutilização de marcadores nas regras de evento, permitindo que os usuários selecionem marcadores que foram definidos anteriormente. ​Quando novos marcadores de alerta são definidos, os marcadores de TBAC (Cluster de alertas baseado em marcador) são criados automaticamente. ​Usando esses marcadores de TBAC, você pode criar novas definições de cluster de alertas de TBAC a partir da nova origem de marcadores​.