예: 경보 관리의 필드 정규화

경우에 따라 데이터 소스에서 서로 다른 필드 이름 아래에 동일한 정보가 존재할 수 있습니다. 예를 들어 한 소스에서 들어오는 이벤트에는 필드 영역 아래에 저장된 위치가 있지만 다른 소스에서는 동일한 정보가 impacted_region 아래에 캡처됩니다. 혼동을 방지하고 일관된 그룹화, 필터링 또는 자동화를 활성화하기 위해 통합 필드(예: t_region)를 생성하여 이러한 필드를 정규화합니다. 이 필드는 이벤트에 있는 필드에 따라 지역 또는 impacted_region 에서 값을 가져옵니다. 이렇게 하면 정규화된 필드 t_region 원래 소스 필드에 관계없이 항상 일관된 방식으로 위치 값을 유지합니다.

경보 태그 필드가 경보 양식에 나타납니다. 이러한 태그는 이벤트 규칙에 의해 이벤트 매핑 시 생성되며 경보 태그의 테이블 [em_alert_tags]에 저장됩니다. 키/값 쌍을 생성하는 데 사용되는 명명 규칙은 t_<태그 이름>입니다.​ 이렇게 하면 사용자가 이전에 정의한 태그를 선택할 수 있도록 이벤트 규칙에서 태그를 재사용할 수 있습니다.​ 새 경보 태그가 정의되면 TBAC(태그 기반 경보 클러스터링) 태그가 자동으로 생성됩니다.​ 이러한 TBAC 태그를 사용하여 새 태그 소스에서 새 TBAC 경보 클러스터링 정의를 만들 수 있습니다​.