Exemple : Normalisation de champ dans la gestion des alertes

Dans certains cas, les mêmes informations peuvent exister sous différents noms de champ dans les différentes sources de données. Par exemple, l’emplacement d’un événement entrant provenant d’une source est stocké sous la région du champ, tandis que dans une autre source, les mêmes informations sont capturées sous impacted_region. Pour éviter toute confusion et permettre un regroupement, un filtrage ou une automatisation cohérents, nous normalisons ces champs en créant un champ unifié, par exemple t_region. Ce champ extrait la valeur de la région ou de la impacted_region en fonction du champ présent dans l’événement. De cette façon, la t_region de champ normalisé conserve toujours la valeur de l’emplacement de manière cohérente, quel que soit le champ source d’origine.

Le champ Balises d’alerte s’affiche dans le formulaire Alertes. Ces balises sont créées par les règles d’événements et dans le mappage d’événements et sont enregistrées dans la table des balises d’alerte [em_alert_tags]. La convention de dénomination utilisée pour créer des paires clé/valeur est t_<nom de balise>. Cela permet de réutiliser des balises dans les règles d’événements en permettant aux utilisateurs de sélectionner des balises précédemment définies. Lorsque de nouvelles balises d’alerte sont définies, des balises TBAC (Tag Based Alert Clustering) sont automatiquement créées. À l’aide de ces balises TBAC, vous pouvez créer de nouvelles définitions de mise en grappe d’alertes TBAC à partir de la nouvelle source de balises.