Créer des mappages de champs d'événements

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 16 minutes de lecture

    • Utilisez des mappages de champs d’événements pour mapper des valeurs de champs d’événement spécifiques à des valeurs dans d’autres champs afin de fournir des informations plus complètes dans une alerte. Utilisez des intégrations basées sur l’équipe dans les règles d’événements pour vous assurer que la propriété et l’exécution des règles par les connecteurs ont priorité sur les règles globales. Les équipes peuvent maintenir la cohérence et la hiérarchie tout en offrant de la flexibilité et des options de personnalisation.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Créez la règle de façon à ce que sa classe et ses valeurs d'origine correspondent à l'événement. Spécifiez également les nouvelles valeurs pour remplacer les valeurs d’origine dans l’événement.

    Procédure

    1. Accédez à la Tout > Gestion des événements > Règles > Mappage de champs d'événements.
    2. Sélectionnez Nouveau ou ouvrez une règle existante pour modifier et remplir les champs.
      Figure 1. Mappage de champs d'événements
      Mappage de champs d'événements
      Tableau 1. Formulaire Mappage de champs d'événements
      Champ Description
      Nom nom du mappage de champ d'événement.
      Source logiciel de surveillance d'événement qui a généré l'événement, tel que SolarWinds ou SCOM. Longueur maximale : 100 caractères.
      Ordre numéro définissant l'ordre dans lequel cette action doit être traitée. Les actions avec les numéros les plus bas sont traitées en premier.
      Groupe d'affectation Pour les intégrations basées sur l’équipe, sélectionnez un groupe d’affectation.

      Si aucun groupe d’affectation n’est défini dans la règle de mappage de champs d’événements, alors cette règle est considérée comme globale.

      Lorsque les règles sont en cours d’exécution, d’abord les règles globales, puis les règles qui appartiennent au groupe d’affectation auquel appartient l’instance source de l’événement.
      Type de mappage mécanisme de mappage utilisé pour modifier une valeur de champ d'événement.
      • Mapper un champ et transformer une valeur (champ unique) :

        Mappe la valeur du champ Source à la valeur correspondante dans la table Paires de valeurs de transformation [em_mapping_pair] et remplit le champ Cible. Les champs Source et Cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte.

      • Créer ou mettre à jour un champ et définir une valeur constante (Constante) :

        Définit une valeur constante dans un champ Cible. Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.

      • Mapper un champ (copier un champ) :

        Copie la valeur exacte d’un champ source dans le champ cible spécifié. Les champs Source et Cible peuvent être Champ d’évent, Champ d’informations supplémentaires ou Balises d’alerte.

      • Mapper un champ et transformer une valeur à l’aide d’une regex : mappe de manière générique la valeur du champ Source à la valeur correspondante dans la table Paires de valeurs de transformation et remplit le champ Cible. Les champs Source et Cible peuvent être des champs d’événement, d’informations supplémentaires ou de balises d’alerte.
      • Mapper un champ à l’aide de regex :

        Copie la valeur d’un champ source défini de façon générique vers le champ cible. Le champ Source doit être un champ du champ Informations supplémentaires sur l’événement. Le champ Cible peut être le champ de l’événement, des informations supplémentaires ou de la balise d’alerte. Avec ce type, vous pouvez trouver de façon générique le nom du champ Source à l’aide d’une expression régulière (regex).

      • Mapper un champ et copier une valeur depuis le groupe regex :

        Copie une partie de la valeur du champ Source dans le champ Cible. Les champs Source et Cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte. Définissez un regex pour spécifier la partie du champ Source qui doit être copiée.

      • Mappage avancé à l’aide d’un script :

        Implémentezvotre propre logique pour la transformation des valeurs d’événement à l’aide d’un script. Lorsque la case « Exécuter après la liaison » est cochée, la règle est exécutée après la phase de liaison du CI et utilise le script dédié qui a également le sys_id du CI dans les paramètres d’entrée.

        Avertissement: Les scripts complexes peuvent affecter les performances de traitement des événements.

      • Mapper le champ à partir de la table de référence

        Utilisez ce type de règle pour extraire une valeur de champ source de la table de référence sélectionnée en faisant correspondre la valeur du champ à faire correspondre àla valeur du champ d’alerte correspondante, puis en mappant la valeur du champ source au champ cible. Le champ d’alerte correspondant et le champ Cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte.
      Filtre Condition pour le mappage de champs d'événements.

      Sélectionnez Ajouter une condition de filtre ou Ajouter une clause « OU » pour configurer plusieurs conditions.
      Actif active ou désactive le mappage de champs d’événements. Si possible, recherchez et appliquez une autre règle de mappage de champ d'événement.
      Exécuter après la liaison

      • Lorsque cette option est sélectionnée, la règle est exécutée après la phase de liaison de CI.

      • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

        • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple : utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model
        • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement.

        Avertissement : L’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.

      Remarque :
      Cette case à cocher s’affiche uniquement pour les types de mappage suivants : mapper un champ et transformer une valeur (champ unique),mapper un champ (copier un champ),mapper un champ et transformer une valeur à l’aide d’une regex, mapper un champ et copier une valeur à partir d’un groupe regex et mapper un champ à partir d’une table de référence.

      • Si vous avez sélectionné Mapper le champ et transformer la valeur (champ unique), renseignez les champs comme il convient.

        Tableau 2. Mapper un champ et transformer les champs de valeur (champ unique)
        Champ Description
        Champ source champ d’événement à mapper ; inclut tous les champs d’événements et d’informations supplémentaires. Remarque : Pour les champs Informations supplémentaires, utilisez : « additional_info.<nom de champ> ». Lorsque la case « Exécuter après la liaison » est cochée, vous pouvez utiliser les préfixes alert_cmdb_ci et alert_cmdb_ci_key pour recevoir les données associées au CI.
        Champ cible champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur. Lorsque ce champ est identique au champ Source, la règle de mappage met à jour la valeur en mémoire du champ d’événement. Les balises d’alerte peuvent également être définies à l’aide du <t_> préfixe.
        Exécuter après la liaison
        • Lorsque cette option est activée, active le mappage de champs d’événement après la liaison de CI.

        • Utilisez le préfixe suivant pour récupérer les valeurs de l’enregistrement CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement.

          Avertissement : L’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.
        Tableau 3. Champs clés (section Paires valeurs-transformations)
        Champ Description
        Clé valeur recherchée par la règle de mappage. Chaque fois que le champ d’événement a cette valeur, la règle de mappage ajoute la valeur répertoriée dans le champ Champ source au champ répertorié dans le champ Cible. Ce champ s’affiche lorsque le type de mappage est Mapper un champ et transformer la valeur (champ unique).

        Sélectionnez + pour ajouter d’autres champs de clé , au besoin.
        Cas d’utilisation typique : Pour mapper le champ « event_severity » du champ Informations supplémentaires avec les valeurs possibles [telles que AVERTISSEMENT, MINEUR, CRITIQUE, EFFACER, MAJEUR] au champ de gravité, configurez les éléments suivants :
        • Champ source : « event_severity »
        • Champ cible : « gravité »
        • Paires de valeurs de transformation :
          • De la valeur : « AVERTISSEMENT », à la valeur : « 4 »
          • De la valeur : « MINEUR », à la valeur : « 3 »
          • et ainsi de suite...
      • Si vous avez sélectionné Créer ou mettre à jour un champ et défini une valeur constante (Constante), renseignez les champs comme il convient.
        Tableau 4. Créer ou mettre à jour un champ et définir des champs de valeurs constantes (Constante)
        Champ Description
        Champ cible

        Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.

        Cas d’utilisation typique : définissez la gravité d’alerte sur 1 pour tous les événements qui correspondent au filtre.
        Valeur valeur que vous souhaitez utiliser pour le champ À. Ce champ s’affiche lorsque le type de mappage est Constant.

        Cas d’utilisation typique : Définissez la gravité de l’alerte sur 1 pour tous les événements qui correspondent au filtre.

      • Si vous avez sélectionné Mapper le champ (Copier le champ), renseignez les champs comme il convient.
        Tableau 5. Mapper les champs (Copier le champ)
        Champ Description
        Champ source Valeur du champ source à copier dans le champ Champ cible .

        Le champ Source peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, active le mappage de champs d’événement après la liaison de CI.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement.

          Avertissement : L’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.
        Cas d’utilisation typique : Pour copier le champ IP du champ Informations supplémentaires sur l’événement vers le nœud du champ Alerte, procédez comme suit :
        • 'Champ source' : ip
        • « Champ cible » : nœud
      • Si vous avez sélectionné Mapper un champ et transformer une valeur à l’aide de regex, renseignez les champs comme il convient.
        Tableau 6. Mapper un champ et transformer une valeur à l'aide de regex
        Champ Description
        Champ source Valeur du champ source à copier dans le champ Champ cible .

        Le champ Source peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, active le mappage de champs d’événement après la liaison de CI.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement.

          Avertissement : L’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.
        Cas d’utilisation typique : Pour mapper la gravité de la couleur du champ Informations supplémentaires au champ Sévérité, utilisez :
        • Champ source : « couleur »
        • Champ cible : « gravité »
        • Paires de valeurs de transformation :
          • Valeur de début : '.*rouge', valeur d’arrivée : '1'. Cela couvre à la fois « rouge foncé », « rouge clair » et d’autres valeurs contenant « rouge » et les mappe toutes à « 1 ».
          • et ainsi de suite...
        Tableau 7. Champs clés (section Paires valeurs-transformations)
        Champ Description
        Clé valeur recherchée par la règle de mappage. Chaque fois que le champ d’événement a cette valeur, la règle de mappage ajoute la valeur répertoriée dans le champ Champ source au champ répertorié dans le champ Cible. Ce champ s’affiche lorsque le type de mappage est Mapper un champ et transformer la valeur (champ unique).

        Sélectionnez + pour ajouter d’autres champs de clé , au besoin.
      • Si vous avez sélectionné Mapper un champ à l’aide de regex, renseignez les champs comme il convient.
        Tableau 8. Mapper un champ à l’aide de champs regex
        Champ Description
        Champ source Valeur de champ source définie de manière générique à copier dans le champ Champ cible .

        Le champ Source doit être un champ du champ Informations supplémentaires sur l’événement. Avec ce type, vous pouvez trouver de façon générique le nom du champ Source à l’aide d’une expression régulière (regex).
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Cas d’utilisation typique : Pour mapper le champ « région » du champ additional_info qui apparaît comme « tags.region » ou « tags|region » ou « cloud.region » à une balise d’alerte t_region, utilisez :
        • 'Champ source' : *région
        • « Champ cible » : t_region
      • Si vous avez sélectionné Mapper le champ et copier la valeur du groupe regex, renseignez les champs comme il convient.
        Tableau 9. Mapper un champ et copier une valeur depuis les champs du groupe regex
        Champ Description
        Champ source Valeur de champ source définie de manière générique à copier dans le champ Champ cible .

        Le champ Source doit être un champ du champ Informations supplémentaires sur l’événement. Avec ce type, vous pouvez trouver de façon générique le nom du champ Source à l’aide d’une expression régulière (regex).
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, active le mappage de champs d’événement après la liaison de CI.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement.

          Avertissement : L’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.
        Expression de groupe regex .*_.*_(.*)_.*
        Cas d’utilisation typique : Pour extraire le troisième octet de l’adresse IP et l’enregistrer dans le champ d’informations third_octet supplémentaires, utilisez :
        • 'Champ source' : ip
        • « Champ cible » : third_octet
        • 'Expression de groupe regex' : .*_.*_(.*)_.*
      • Si vous avez sélectionné Mappage avancé à l’aide d’un script, renseignez les champs comme il convient.
        Tableau 10. Mappage avancé à l’aide des champs de script
        Champ Description
        Script L’éditeur de code prend en charge l’éditeur de texte pour les scripts en ligne. L’éditeur de code dispose des fonctionnalités suivantes pour les services linguistiques et les scripts en ligne pris en charge : coloration de la syntaxe, indentation, numéros de ligne et création automatique d’accolades fermantes et de guillemets, suggestions automatiques et complétions automatiques.
        Conseils d’édition :
        • Pour insérer un espace fixe n’importe où dans votre code, appuyez sur la touche Tab .
        • Pour mettre en retrait une seule ligne de code, sélectionnez l’espace vide au début de la ligne, puis appuyez sur la touche de tabulation.
        • Pour mettre en retrait une ou plusieurs lignes de code, sélectionnez le code, puis appuyez sur la touche de tabulation.
        • Pour réduire l’indentation, appuyez sur Maj+Tab.
        • Pour supprimer un onglet du début d’une ligne de code, sélectionnez dans la ligne et appuyez sur Maj+Tab.
        • Pour déclarer des variables, utilisez le mot-clé var afin qu’elles restent dans la portée JavaScript appropriée.
        Exécuter après la liaison

        Lorsque la case « Exécuter après la liaison » est cochée, la règle est exécutée après la phase de liaison du CI et utilise le script dédié qui a également le sys_id du CI dans les paramètres d’entrée.

        Avertissement: Les scripts complexes peuvent affecter les performances de traitement des événements.
      • Si vous avez sélectionné Mapper le champ de la table de référence, renseignez les champs comme il convient.
        Tableau 11. Mapper le champ à partir des champs de la table de référence
        Champ Description
        Table de référence Table de référence. Sélectionnez la table à partir de laquelle le champ doit être mappé au champ cible dans l’événement.
        Champ à faire correspondre Champ de la table de référence à mettre en correspondance avec le champ d’alerte correspondant de l’événement. Elle est utilisée pour filtrer les enregistrements de la table de référence.
        Champ source Valeur du champ source à copier dans le champ Champ cible .

        Le champ Source est le champ de la table qui a été sélectionné comme table de référence.
        Champ d'alerte correspondant

        Champ d’événement permettant de rechercher les enregistrements de table de référence correspondants. Le champ d’alerte correspondant est mis en correspondance avec le champ Champ à faire correspondre .

        Le champ d’alerte correspondant peut être le champ Événement, le champ Informations supplémentaires ou la balise d’alerte.
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, active le mappage de champs d’événement après la liaison de CI.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. Dans le champ Alerte correspondante, pour récupérer la valeur d’un champ à partir d’un enregistrement de CI. Par exemple : « alert_cmdb_ci.ip_address » récupère les informations sur l’adresse IP des CI liés. Lorsque les champs d’alerte correspondante et Champ de correspondance sont des champs de référence, une remontée pas à pas pour sys_id dans le champ Alerte correspondante est requise. Par exemple, pour utiliser la valeur « assignment_group » des CI liés pour qu’ils correspondent au champ Champ à faire correspondre , utilisez l’expression suivante dans le champ Alerte correspondante : alert_cmdb_ci.assignment_group.sys_id
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement.

          Avertissement : L’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.
        Cas d’utilisation typique : Extrayez « short_description » des enregistrements « pc_vendor_cat_item » faisant correspondre son champ « nom » avec le champ « cat_item_name » dans le champ Informations supplémentaires de l’événement et mappez-le au champ « description » sur l’événement dans les champs suivants :
        • « Table de référence » : pc_vendor_cat_item
        • 'Champ à faire correspondre' : nom
        • « Champ source » : short_description
        • « Champ d’alerte correspondant » : cat_item_name
        • « Champ cible » : description
    3. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
    4. Sélectionnez Envoyer.

    Exemple

    Les valeurs suivantes constituent une règle prédéfinie qui s’applique aux événements de la classe Trap From Enterprise 9 . Si les événements contiennent l’élément snmpTrapOID avec la valeur iso.org.dod.internet.private.enterprises.cisco.0.0, la règle de mappage modifie la valeur à recharger dans les alertes. Si les événements contiennent l’élément snmpTrapOID , une valeur iso.org.dod.internet.private.enterprises.cisco.0.1, la règle de mappage remplace la valeur par tcpConnectionClose dans les alertes.
    Champ Valeurs
    Nom cisco.snmpTrapOID
    Source Interruption depuis Enterprise 9
    Type de mappage Mapper un champ et transformer une valeur (champ unique).
    Champ source snmpTrapOID
    Champ cible snmpTrapOID
    Paires de valeurs de transformation
    • Paire 1
      • Clé : iso.org.dod.internet.private.enterprises.cisco.0.0
      • Valeur : reload
    • Paire 2
      • Clé : iso.org.dod.internet.private.enterprises.cisco.0.1
      • Valeur : tcpConnectionClose

    Que faire ensuite

    Testez un mappage de champs d’événements en envoyant un événement qui inclut un champ présent dans le mappage de champs d’événements.