Créer des mappages de champs d'événements

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 16 minutes de lecture

    • Utilisez les mappages de champs d’événements pour mapper des valeurs de champs d’événements spécifiques à des valeurs d’autres champs afin de fournir des informations plus complètes dans une alerte. Utilisez les intégrations basées sur l’équipe dans les règles d’événements pour vous assurer que la propriété du connecteur et l’exécution des règles donnent la priorité aux règles globales. Les équipes peuvent maintenir la cohérence et la hiérarchie tout en offrant des options de flexibilité et de personnalisation.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Pourquoi et quand exécuter cette tâche

    Créez la règle de façon à ce que sa classe et ses valeurs d'origine correspondent à l'événement. Spécifiez également les nouvelles valeurs pour remplacer les valeurs d’origine dans l’événement.

    Procédure

    1. Accédez à la Tous > Gestion des événements > Règles > Mappage de champs d'événements.
    2. Sélectionnez Nouveau ou ouvrez une règle existante pour modifier et remplir les champs.
      Figure 1. Mappage de champs d'événements
      Mappage de champs d'événements
      Tableau 1. Formulaire Mappage de champs d'événements
      Champ Description
      Nom nom du mappage de champ d'événement.
      Source logiciel de surveillance d'événement qui a généré l'événement, tel que SolarWinds ou SCOM. Longueur maximale : 100 caractères.
      Ordre numéro définissant l'ordre dans lequel cette action doit être traitée. Les actions avec les numéros les plus bas sont traitées en premier.
      Groupe d'affectation Pour les intégrations basées sur l’équipe, sélectionnez un groupe d’affectation.

      Si aucun groupe d’affectation n’est défini dans la règle de mappage de champ d’événement, cette règle est considérée comme globale.

      Lorsque les règles sont en cours d’exécution, les règles globales s’exécutent d’abord, puis les règles qui appartiennent au groupe d’affectation auquel appartient l’instance source de l’événement.
      Type de mappage mécanisme de mappage utilisé pour modifier une valeur de champ d'événement.
      • Mapper un champ et une valeur de transformation (champ unique) :

        Mappe la valeur du champ Source à la valeur correspondante dans la table Paires de valeurs de transformation [em_mapping_pair] et remplitlechamp Cible. Les champs Source et Cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte.

      • Créer ou mettre à jour un champ et définir une valeur constante (constante) :

        Définit une valeur constante dans un champ cible. Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.

      • Mapper un champ (copier un champ) :

        Copie la valeur exacte d’un champ Source vers le champ cible spécifié. Les champs Source et Cible peuvent être un champ d’évent, un champ d’informations supplémentaires ou des balises d’alerte.

      • Mappez le champ et la valeur de transformation à l’aide de regex : mappe de manière générique la valeur du champ Source à la valeur correspondante dans la table Paires de valeurs de transformation et remplit le champ Cible. Les champs Source et Cible peuvent être des champs d’événement, d’informations supplémentaires ou de balises d’alerte.
      • Mapper un champ à l’aide de regex :

        Copie la valeur d’un champ source défini de manière générique vers le champ cible. Le champ Source doit être un champ du champ d’informations supplémentaires sur l’événement. Le champ Cible peut être le champ de l’événement, des informations supplémentaires ou de la balise d’alerte. Avec ce type, vous pouvez trouver de manière générique le nom du champ Source à l’aide d’une expression régulière (regex).

      • Mapper un champ et copier une valeur depuis le groupe regex :

        Copie une partie de la valeur du champ Source dans le champ Cible. Les champs Source et Cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte. Définissez une regex pour spécifier la partie du champ Source qui doit être copiée.

      • Mappage avancé utilisant un script :

        Implémentezvotre propre logique pour la transformation des valeurs d’événement à l’aide d’un script. Lorsque la case « Exécuter après la liaison » est cochée, la règle est exécutée après la phase de liaison du CI et utilise le script dédié qui a également la sys_id du CI dans les paramètres d’entrée.

        Avertissement: Les scripts complexes peuvent affecter les performances de traitement des événements.

      • Mapper le champ à partir de la table de référence

        Utilisez ce type de règle pour extraire une valeur de champ source de la table de référence sélectionnée en faisant correspondre la valeur Champ à faire correspondre àla valeur du champ d’alerte correspondante , puis en mappant la valeur du champ Source au champ Cible. Le champ d’alerte correspondant et le champ cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte.
      Filtre Condition pour le mappage de champs d'événements.
      Sélectionnez Ajouter une condition de filtre ou Ajouter une clause « OU » pour configurer plusieurs conditions.
      Remarque :
      Le filtre est sensible à la casse.
      Actif active ou désactive le mappage de champs d’événements. Si possible, recherchez et appliquez une autre règle de mappage de champ d'événement.
      Exécuter après la liaison

      • Lorsque cette option est sélectionnée, la règle est exécutée après la phase de liaison de CI.

      • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

        • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple : utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Une remontée pas à pas vers un enregistrement connexe est également possible. Par exemple, utilisez alert_cmdb_ci.asset.model
        • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.subscription notes.

        Avertissement : l’utilisation de la fonctionnalité « Exécuter après liaison » peut affecter les performances de traitement des événements.

      Remarque :
      Cette case à cocher s’affiche uniquement pour les types de mappage suivants : Mapper un champ et une valeur de transformation (champ unique),Mapper un champ (copier un champ), Mapper un champ et une valeur de transformation à l’aide de regex, Mapper un champ et copier une valeur à partir d’un groupe regex et Mapper un champ à partir de la table de référence.

      • Si vous avez sélectionné Mapper un champ et une valeur de transformation (Champ unique), renseignez les champs comme il convient.

        Tableau 2. Mapper les champs de champ et de valeur de transformation (champ unique)
        Champ Description
        Champ source champ d’événement à mapper ; inclut tous les champs d’événements et d’informations supplémentaires. Remarque : Pour les champs d’informations supplémentaires, utilisez : « additional_info.<nom du champ> ». Lorsque la case « Exécuter après la liaison » est cochée, vous pouvez utiliser les préfixes alert_cmdb_ci et alert_cmdb_ci_key pour recevoir les données associées au CI.
        Champ cible champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur. Lorsque ce champ est identique au champ Source, la règle de mappage met à jour la valeur en mémoire du champ d’événement. Les balises d’alerte peuvent également être définies à l’aide du <t_> préfixe.
        Exécuter après la liaison
        • Lorsque cette option est activée, le mappage de champs d’événements après la liaison de CI est activé.

        • Utilisez le préfixe suivant pour récupérer les valeurs de l’enregistrement CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ d’alerte « assignment_group » avec la valeur du groupe d’affectation du CI. Une remontée pas à pas vers un enregistrement connexe est également possible. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.subscription notes.

          Avertissement : l’utilisation de la fonctionnalité « Exécuter après liaison » peut affecter les performances de traitement des événements.
        Tableau 3. Champs clés (section Paires de valeurs de transformation)
        Champ Description
        Clé valeur recherchée par la règle de mappage. Chaque fois que le champ d’événement a cette valeur, la règle de mappage ajoute la valeur répertoriée dans le champ Source au champ répertorié dans le champ Cible. Ce champ s’affiche lorsque le type de mappage est Champ de carte et valeur de transformation (Champ unique).

        Sélectionnez + pour ajouter plus de champs clés , selon vos besoins.
        Cas d’utilisation typique : Pour mapper le champ « event_severity » dans le champ d’informations supplémentaires avec des valeurs possibles [telles que AVERTISSEMENT, MINEUR, CRITIQUE, EFFACEMENT, MAJEUR] au champ de gravité, configurez les éléments suivants :
        • Champ source : « event_severity »
        • Champ cible : « sévérité »
        • Paires de valeurs de transformation :
          • De la valeur : 'WARNING' à la valeur : '4'
          • De la valeur : « MINOR » à la valeur : « 3 »
          • et ainsi de suite...
      • Si vous avez sélectionné Créer ou mettre à jour un champ et défini une valeur constante (Constante), renseignez les champs comme il convient.
        Tableau 4. Créer ou mettre à jour un champ et définir des champs de valeur constante (constante)
        Champ Description
        Champ cible

        Le champ Cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.

        Cas d’utilisation typique : définissez une gravité d’alerte sur 1 pour tous les événements qui correspondent au filtre.
        Valeur valeur que vous souhaitez utiliser pour le champ À. Ce champ s’affiche lorsque le type de mappage est Constant.

        Cas d’utilisation typique : Définissez une gravité d’alerte de 1 pour tous les événements qui correspondent au filtre.

      • Si vous avez sélectionné Mapper un champ (Copier un champ), renseignez les champs comme il convient.
        Tableau 5. Mapper les champs (copier un champ)
        Champ Description
        Champ source Valeur de champ source à copier dans le champ Champ cible.

        Le champ Source peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, le mappage de champs d’événements après la liaison de CI est activé.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ d’alerte « assignment_group » avec la valeur du groupe d’affectation du CI. Une remontée pas à pas vers un enregistrement connexe est également possible. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.subscription notes.

          Avertissement : l’utilisation de la fonctionnalité « Exécuter après liaison » peut affecter les performances de traitement des événements.
        Cas d’utilisation typique : Pour copier le champ IP du champ d’informations supplémentaires sur l’événement vers le nœud du champ d’alerte, procédez comme suit :
        • « Champ source » : ip
        • « Champ cible » : nœud
      • Si vous avez sélectionné Mapper le champ et la valeur de transformation à l’aide de regex, renseignez les champs comme il convient.
        Tableau 6. Mappage d'un champ et d'une valeur de transformation à l'aide de regex
        Champ Description
        Champ source Valeur de champ source à copier dans le champ Champ cible .

        Le champ Source peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, le mappage de champs d’événements après la liaison de CI est activé.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ d’alerte « assignment_group » avec la valeur du groupe d’affectation du CI. Une remontée pas à pas vers un enregistrement connexe est également possible. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.subscription notes.

          Avertissement : l’utilisation de la fonctionnalité « Exécuter après liaison » peut affecter les performances de traitement des événements.
        Cas d’utilisation typique : Pour mapper la gravité de la couleur de champ dans le champ Informations supplémentaires au champ Gravité, utilisez :
        • Champ source : « couleur »
        • Champ cible : « sévérité »
        • Paires de valeurs de transformation :
          • Valeur de départ : « .*red », Valeur d’arrivée : « 1 ». Cela couvre à la fois les valeurs « rouge foncé », « rouge clair » et les autres valeurs contenant « rouge » et les mappe toutes à « 1 ».
          • et ainsi de suite...
        Tableau 7. Champs clés (section Paires de valeurs de transformation)
        Champ Description
        Clé valeur recherchée par la règle de mappage. Chaque fois que le champ d’événement a cette valeur, la règle de mappage ajoute la valeur répertoriée dans le champ Source au champ répertorié dans le champ Cible. Ce champ s’affiche lorsque le type de mappage est Champ de carte et valeur de transformation (Champ unique).

        Sélectionnez + pour ajouter plus de champs clés , selon vos besoins.
      • Si vous avez sélectionné Mapper le champ à l’aide de regex, renseignez les champs comme il convient.
        Tableau 8. Mapper un champ à l’aide de champs regex
        Champ Description
        Champ source Valeur de champ source définie de manière générique à copier dans le champ Champ cible .

        Le champ Source doit être un champ du champ d’informations supplémentaires sur l’événement. Avec ce type, vous pouvez trouver de manière générique le nom du champ Source à l’aide d’une expression régulière (regex).
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Cas d’utilisation typique : Pour mapper le champ « région » à partir du champ additional_info qui apparaît sous la forme « tags.region », « tags|region » ou « cloud.region » à une balise t_regiond’alerte, utilisez :
        • « Champ source » : *région
        • « Champ cible » : t_region
      • Si vous avez sélectionné Mapper le champ et copier la valeur du groupe regex, renseignez les champs, selon vos besoins.
        Tableau 9. Mapper un champ et copier la valeur depuis les champs de groupe regex
        Champ Description
        Champ source Valeur de champ source définie de manière générique à copier dans le champ Champ cible .

        Le champ Source doit être un champ du champ d’informations supplémentaires sur l’événement. Avec ce type, vous pouvez trouver de manière générique le nom du champ Source à l’aide d’une expression régulière (regex).
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, le mappage de champs d’événements après la liaison de CI est activé.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. pour récupérer un champ à partir de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ d’alerte « assignment_group » avec la valeur du groupe d’affectation du CI. Une remontée pas à pas vers un enregistrement connexe est également possible. Par exemple, utilisez alert_cmdb_ci.asset.model
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.subscription notes.

          Avertissement : l’utilisation de la fonctionnalité « Exécuter après liaison » peut affecter les performances de traitement des événements.
        Expression de groupe regex .*_.*_(.*)_.*
        Cas d’utilisation typique : Pour extraire le troisième octet de l’IP et l’enregistrer dans le champ d’informations third_octet supplémentaires, utilisez :
        • « Champ source » : ip
        • « Champ cible » : third_octet
        • 'Expression de groupe regex' : .*_.*_(.*)_.*
      • Si vous avez sélectionné Mappage avancé à l’aide d’un script, renseignez les champs comme il convient.
        Tableau 10. Mappage avancé utilisant des champs de script
        Champ Description
        Script L’éditeur de code prend en charge les scripts en ligne dans l’éditeur de texte. L’éditeur de code dispose des fonctionnalités suivantes pour les services linguistiques et les scripts en ligne pris en charge : coloration de la syntaxe, indentation, numéros de ligne et création automatique d’accolades fermantes et de guillemets, suggestions automatiques et complétions automatiques.
        Conseils d’édition :
        • Pour insérer un espace fixe n’importe où dans votre code, appuyez sur la touche Tab .
        • Pour mettre en retrait une seule ligne de code, sélectionnez l’espace de début de la ligne, puis appuyez sur la touche de tabulation.
        • Pour mettre en retrait une ou plusieurs lignes de code, sélectionnez le code, puis appuyez sur la touche de tabulation.
        • Pour réduire l’indentation, appuyez sur Maj+Tab.
        • Pour supprimer un onglet du début d’une ligne de code, sélectionnez dans la ligne et appuyez sur Maj+Tab.
        • Pour déclarer des variables, utilisez le mot-clé var afin qu’elles restent dans la portée JavaScript appropriée.
        Exécuter après la liaison

        Lorsque la case « Exécuter après la liaison » est cochée, la règle est exécutée après la phase de liaison du CI et utilise le script dédié qui a également la sys_id du CI dans les paramètres d’entrée.

        Avertissement: Les scripts complexes peuvent affecter les performances de traitement des événements.
      • Si vous avez sélectionné Mapper le champ dans la table de référence, renseignez les champs comme il convient.
        Tableau 11. Mapper le champ à partir des champs de la table de référence
        Champ Description
        Table de référence Table de référence. Sélectionnez la table à partir de laquelle le champ doit être mappé au champ cible dans l’événement.
        Champ à faire correspondre Champ de la table de référence à mettre en correspondance avec le champ d’alerte correspondant de l’événement. Il est utilisé pour filtrer les enregistrements de la table de référence.
        Champ source Valeur de champ source à copier dans le champ Champ cible.

        Le champ Source est le champ de la table qui a été sélectionné comme table de référence.
        Champ d'alerte correspondant

        Champ d’événement pour rechercher des enregistrements de table de référence correspondants. Le champ Alerte de correspondance est mis en correspondance avec le champ Champ à faire correspondre .

        Le champ d’alerte correspondant peut être le champ Événement, le champ Informations supplémentaires ou la balise Alerte.
        Champ cible Champ d'événement dans lequel la règle de mappage insère ou met à jour la valeur.

        Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
        Exécuter après la liaison
        • Lorsque cette option est activée, le mappage de champs d’événements après la liaison de CI est activé.

        • Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement de CI :

          • alert_cmdb_ci. Dans le champ Alerte correspondante, pour récupérer la valeur d’un champ à partir d’un enregistrement de CI. Par exemple : « alert_cmdb_ci.ip_address » récupère les informations d’adresse IP des CI liés. Lorsque le champ d’alerte Correspondance et les champs Champ à faire correspondre sont des champs de référence, une remontée pas à pas vers sys_id dans le champ d’alerte Correspondance est requise. Par exemple, pour utiliser la valeur « assignment_group » des CI liés à mettre en correspondance avec le champ Champ à faire correspondre , utilisez l’expression suivante dans le champ d’alerte Correspondance : alert_cmdb_ci.assignment_group.sys_id
          • alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.subscription notes.

          Avertissement : l’utilisation de la fonctionnalité « Exécuter après liaison » peut affecter les performances de traitement des événements.
        Cas d’utilisation typique : Extrayez « short_description » des enregistrements « pc_vendor_cat_item » en faisant correspondre son champ « nom » avec le champ « cat_item_name » dans le champ Informations supplémentaires de l’événement et mappez-le au champ « description » de l’événement dans les champs suivants :
        • « Table de référence » : pc_vendor_cat_item
        • 'Champ à faire correspondre' : nom
        • « Champ source » : short_description
        • « Champ d’alerte correspondant » : cat_item_name
        • 'Champ cible' : description
    3. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
    4. Sélectionnez Soumettre.

    Exemple

    Les valeurs suivantes constituent une règle prédéfinie qui est appliquée aux événements de la classe Trap From Enterprise 9 . Si les événements contiennent l’élément snmpTrapOID avec une valeur iso.org.dod.internet.private.enterprises.cisco.0.0, la règle de mappage modifie la valeur à recharger dans les alertes. Si les événements contiennent l’élément snmpTrapOID , une valeur iso.org.dod.internet.private.enterprises.cisco.0.1, la règle de mappage change la valeur en tcpConnectionClose dans les alertes.
    Champ Valeurs
    Nom cisco.snmpTrapOID
    Source Interruption depuis Enterprise 9
    Type de mappage Mappage d’un champ et d’une valeur de transformation (champ unique).
    Champ source snmpTrapOID
    Champ cible snmpTrapOID
    Paires de valeurs de transformation
    • Paire 1
      • Clé : iso.org.dod.internet.private.enterprises.cisco.0.0
      • Valeur : reload
    • Paire 2
      • Clé : iso.org.dod.internet.private.enterprises.cisco.0.1
      • Valeur : tcpConnectionClose

    Que faire ensuite

    Testez un mappage de champs d’événements en envoyant un événement qui inclut un champ présent dans le mappage de champs d’événements.