Format de champ d'événement pour la collecte d'événements

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

4 minutes de lecture

Gestion des événements nécessite que tous les événements utilisent un formulaire standard, quelle que soit la façon dont ils accèdent à l'instance.

Dans le filtre de navigation de l'application, saisissez em_event.list.

Tableau 1. Formulaire Événement
Nom	Description
em_event.source [Source]	logiciel de surveillance d'événement qui a généré l'événement, tel que SolarWinds ou SCOM. Longueur maximale : 100 caractères.
em_event.node [Nœud]	nom du nœud, nom de domaine complet (FQDN), adresse IP ou adresse MAC associée à l'événement, comme IBM-ASSET. Longueur maximale : 100 caractères.
em_event.type [Type]	Facultatif. type de mesure auquel l'événement est associé, tel que disque ou processeur, qui est utilisé pour identifier un enregistrement d'événement à partir duquel les alertes sont créées. Longueur maximale : 100 caractères.
em_event.resource [Ressource]	ressource de nœud pertinente pour l'événement. Par exemple, Disque C, Processeur-1, nom d'un processus ou service. Longueur maximale : 100 caractères.
metric_name [Nom de la mesure]	Nom de la mesure, par exemple `Espace disque de la base de données (Mo)`, `Écritures sur disque/s` ou `Octets d'écriture sur disque/s`.
em_event.event_class [Instance source]	Si le champ em_event.node n'est pas spécifié, il est obligatoire de créer les alertes automatiquement. Les valeurs du champ em_event.event_class proviennent de la source qui génère les événements ou de la règle d'événement. nom de l'ordinateur ou du logiciel qui a généré l'événement. Par exemple, SolarWinds sur 10.22.33.44. Le nom d'affichage du champ correspondant est Instance source.
em_event.message_key [Clé de message]	identificateur d'événement unique pour identifier plusieurs événements associés à la même alerte. Si cette valeur est vide, elle est générée à partir des valeurs des champs Source, Nœud, Type, Ressource et Nom de la mesure. Longueur maximale : 1 024 caractères.
em_event.ci_type	chaîne JSON qui représente un élément de configuration. Par exemple, `{"name":"SAP ORA01","type":"Oracle"}`. L'identificateur CI qui a généré l'événement apparaît dans le champ Informations supplémentaires. Longueur maximale : 1 000 caractères. Note : les fenêtres contextuelles de référence et les clics sont masqués par défaut pour les champs en lecture seule. Pour Élément de configuration et d'autres champs en lecture seule, vous pouvez éventuellement modifier le paramètre en lecture seule. Pour plus d’informations, consultez Configurer les fenêtres contextuelles sur les champs en lecture seule .
em_event.severity [Gravité]	Les options de gravité de l'événement sont les suivantes : Critique : une action immédiate est requise. La ressource n'est pas fonctionnelle ou des problèmes critiques sont imminents. Majeure : la fonctionnalité majeure est gravement altérée ou les performances se sont dégradées. Mineure : une perte partielle et non critique de fonctionnalité ou une dégradation des performances s'est produite. Avertissement : surveillance requise, même si la ressource est toujours fonctionnelle. OK : une alerte est créée. La ressource est toujours fonctionnelle. Effacer : aucune action n'est requise. Aucune alerte n'est créée à partir de cet événement. Les alertes existantes sont arrêtées.
em_event.resolution_state [État de résolution]	Facultatif. si le champ est vide, la résolution sur les alertes correspondantes est toujours en attente. l'état de l'événement à partir de la source d'événement est Nouveau ou Fermeture. Nouveau, la résolution sur les alertes correspondantes est ouverte. l’état de fermeture de l’événement ferme les alertes correspondantes.
em_event.time_of_event [Heure de l'événement]	heure à laquelle l'événement s'est produit dans le système source. Ce champ est un champ GlideDateTime au format UTC ou GMT. Longueur maximale : 40 caractères.
em_event.state [État]	État de traitement actuel de l'événement : Prêt : l'événement a été reçu et est en attente de traitement. Traité : l'événement a été traité avec succès. Ignoré : la valeur n'est pas utilisée. Erreur : une défaillance s'est produite pendant le traitement de l'événement. Par exemple, la méthode de collecte d'événements ou le champ Gravité de l'événement est vide.
em_event.alert [Alerte]	si une alerte a été créée à la suite de l'événement, ce champ contient l'ID unique que Gestion des événements génère pour identifier l'alerte.
em_event.description [Description]	motif de la génération d'événement. Affiche des détails supplémentaires sur un problème. Par exemple, une trace de pile de serveur ou les détails d'un outil de surveillance. Longueur maximale : 4 000 caractères.
em_event.additional_info [Informations supplémentaires]	Facultatif. chaîne JSON qui donne plus d'informations sur l'événement. Les données JSON sont prises en charge pour les valeurs de chaîne uniquement ; les autres types de valeurs ne sont pas pris en charge. Vous devez convertir les nombres en valeurs de chaîne en les mettant entre guillemets. Par exemple, la valeur {"CPU":100} n'est pas prise en charge, mais la valeur {"CPU":"100"} l'est. Voici un autre exemple de chaîne JSON valide : {"evtComponent":"Microsoft-Windows-WindowsUpdateClient","evtMessage":"Installation Failure: Windows failed. Error 0x80070490"}. Ces informations peuvent être utilisées pour l'intégration tierce ou tout autre traitement post-alerte. Les valeurs du champ Informations supplémentaires d'un événement qui ne sont pas au format clé/valeur JSON sont normalisées au format clé/valeur JSON lorsque l'événement est traité. Supposons, par exemple, que le texte brut suivant figure dans le champ Informations supplémentaires : « L'instance de connexion est réussie ». Lorsque l'événement est traité, tout ce texte brut devient une chaîne JSON et peut ne pas être utile dans une alerte. Dans l'alerte qui en résulte, cette chaîne se trouve dans le champ Informations supplémentaires au format clé/valeur JSON, contenant les données : {"additional_content": "L'instance de connexion est réussie"}.
processing_notes [Notes de traitement]	Affichage du journal de traitement des événements.