Extraction et composition de champs d’alerte

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • L’extraction et la composition sont des moyens de gérer ce que vous voyez dans la sortie d’alerte, ce qui simplifie le filtrage, le regroupement et la lecture. L’automatisation des alertes vous permet d’extraire des valeurs du champ d’alerte de la charge utile de l’événement et de les placer dans un champ de sortie d’alerte. La composition vous permet de fusionner plusieurs champs d’alerte en un seul champ de sortie.

    Extraction de champs d’alerte

    Les notifications d’alerte contiennent souvent un contexte pertinent enfoui dans les charges utiles d’événements. En enrichissant les sorties d’alerte avec des valeurs provenant de la charge utile existante, vous pouvez mieux comprendre l’importance des alertes et déterminer les étapes appropriées pour leur résolution. Par exemple, un nom d’hôte comprend généralement des informations cruciales telles que le service, le nœud, la grappe, le centre de données et le domaine. Pour ajouter automatiquement la valeur d’une balise de grappe en fonction des données d’hôte entrantes, vous pouvez extraire uniquement les données de grappe.

    Lors de l’extraction de champs d’alerte, utilisez des expressions régulières (regex) pour générer des formules de valeur. Regex vous permet d’identifier et de capturer avec précision les parties pertinentes de la charge utile, ce qui permet de créer des notifications d’alerte significatives et exploitables.
    Remarque :
    Vous pouvez composer du texte à l’aide des conventions de format d’expression régulière (regex). Utilisez un ou plusieurs groupes de capture entre parenthèses pour extraire des parties de l’entrée. Les groupes de capture de l’expression régulière sont affectés aux sorties d’alerte en fonction de l’ordre dans lequel elles apparaissent. La regex doit correspondre à l’intégralité de l’entrée, envisagez donc d’entourer votre regex de .* à chaque extrémité. Par exemple, (\w+).acme.com.* capture le nom d’hôte dans un nom de domaine complet. L’analyseur du moteur regex est compatible avec les expressions régulières compatibles Perl (PCRE).
    Figure 1. Extraire des champs d'alertes
    Extraire des champs d'alertes
    Si vous utilisez plusieurs groupes de capture entre parenthèses, chaque valeur extraite apparaît dans un champ de sortie distinct.
    Figure 2. Extraire le champ pour plusieurs sorties d’alerte
    Extraire le champ pour plusieurs sorties d’alerte
    Prévisualisez la sortie d’alerte dans les exemples d’événements pour vérifier que les valeurs sont extraites comme prévu en sélectionnant Prévisualiser plusieurs événements.
    Remarque :
    Cette option n’est disponible que lorsque des exemples d’événements sources sont disponibles et mis en correspondance avec le filtre regex.

    Exemple : extraction de champs d’alerte

    Supposons que vous ayez besoin d’extraire seulement six lettres d’un champ spécifique d’un événement et de les afficher dans un nouveau champ d’alerte nommé mynewfield. Vous souhaitez également baliser ce nouveau champ d’alerte pour une utilisation ultérieure dans un regroupement d’alertes. Voici comment y parvenir :
    • Champ d’entrée source : sélectionnez le champ d’événement dont vous souhaitez extraire les données. Dans ce cas, le champ est Nom de la mesure.
    • Expression régulière : utilisez une expression régulière pour extraire la partie spécifique dont vous avez besoin de la valeur du champ sélectionné. Par exemple, si la valeur du champ Nom de la mesure contient « Espace d’échange libre en % » et que vous souhaitez extraire « Espace d’échange libre », votre expression régulière doit être (.........). *.
    • Sortie d’alerte :
      • Choisissez un champ d’alerte existant, une balise d’alerte existante ou saisissez manuellement un nouveau nom de champ. Dans ce cas, saisissons un nouveau nom de champ mynewfield.
      • Définissez mynewfield comme balise pour une utilisation ultérieure dans le regroupement basé sur les balises. Notez la balise affichée avant le nom du champ.

      Après avoir appliqué l’expression régulière à la valeur du champ sélectionné (dans ce cas, la valeur du champ Nom de la mesure ), vérifiez le mot extrait affiché sous le champ Sortie d’alerte . Par exemple, il devrait afficher « Échange libre » si l’expression régulière correspond correctement.

    • Prévisualiser plusieurs événements : prévisualiser plusieurs événements vous permet de vérifier si l’expression régulière extrait avec précision les données d’une série d’exemples d’événements. Cela permet de déterminer si des ajustements de l’expression régulière sont nécessaires.

    Composition de champs d’alerte

    Lors de la création d’une sortie d’alerte, vous pouvez sélectionner ou saisir manuellement des champs, des balises ou du texte libre à inclure. Ces données peuvent être facilement lues, filtrées et regroupées pour une meilleure gestion et compréhension des alertes.

    Figure 3. Composer des champs d’alerte
    Composer des champs d’alerte

    Exemple : composition de champs d’alerte

    Supposons que vous souhaitiez avoir deux champs d’entrée qui composent des données et les affichent dans deux champs de sortie d’alerte différents. Dans un scénario, vous souhaitez que la valeur source provienne d’un champ d’alerte existant avec un nouveau champ, affichant la valeur composée dans un nouveau champ de sortie d’alerte. Vous prévoyez également de baliser le nouveau champ de sortie d’alerte pour une utilisation ultérieure dans un regroupement basé sur les balises. Dans l’autre scénario, vous combinez des champs existants avec du texte libre et sélectionnez la sortie d’alerte à afficher dans un champ d’alerte existant. Voici comment y parvenir :
    • Scénario 1 :
      1. Champ d’entrée source : sélectionnez un champ d’alerte existant et ajoutez le texte « et », puis saisissez un autre champ u_eventid. Par exemple : ${classification} et ${u_eventid}.

        Notez que les champs d’alerte sont affichés au format de syntaxe ${field} . Vous pouvez également sélectionner le nom du champ dans la liste déroulante, et la syntaxe sera ajoutée automatiquement.

      2. Sortie d’alerte : saisissez le nom du nouveau champ d’alerte dans lequel vous souhaitez afficher les valeurs des champs d’entrée. Par exemple, nommons-le mynewfield.

        Définissez mynewfield comme balise pour une utilisation ultérieure dans le regroupement basé sur les balises. Notez la balise affichée avant le nom du champ.

    • Scénario 2 :
      1. Champ d’entrée source : sélectionnez les champs d’alerte existants et incluez le texte libre de votre choix pour la façon dont vous souhaitez qu’ils s’affichent dans le champ de sortie d’alerte. Par exemple : type de problème : ${type} avec gravité ${severity}.

        Les champs d’alerte sont affichés au format de syntaxe ${field} . Vous pouvez également sélectionner le nom du champ dans la liste déroulante, et la syntaxe sera ajoutée automatiquement.

      2. Sortie d’alerte : sélectionnez un champ d’alerte existant dans lequel vous souhaitez afficher les valeurs des champs d’entrée. Par exemple, sélectionnez Description.