イベントフィールドマッピングの作成

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：20分

イベントフィールドマッピングを使用して、特定のイベントフィールドの値を他のフィールドの値にマップし、より包括的な情報をアラートに提供します。イベントルールでチームベースの統合を使用して、コネクタの所有権とルールの実行がグローバルルールよりも優先されるようにします。チームは、柔軟性とカスタマイズオプションを提供しながら、一貫性と階層を維持できます。

始める前に

必要なロール：evt_mgmt_admin

このタスクについて

イベントをそのクラスと元の値で照合するルールを作成します。また、新しい値を指定して、イベントの元の値を置換します。

手順

移動先すべて > イベント管理 > ルール > イベントフィールドマッピング.

[新規] を選択するか、編集する既存のルールを開いて、フィールドに入力します。

表 : 1. イベントフィールドマッピングフォーム
フィールド	説明
名前	イベントフィールドのマッピング名。
ソース	イベントを生成したイベントモニタリングソフトウェア (SolarWinds や SCOM など)。最大長：100 文字。
順番	このアクションを処理する順序を定義する番号。小さい番号のアクションが最初に処理されます。
アサイン先グループ	チームベースの統合の場合は、アサイン先グループを選択します。イベントフィールドマッピングルールにアサイン先グループが定義されていない場合、このルールはグローバルと見なされます。ルールが実行されている場合、最初にグローバルルールが実行され、次にイベントのソースインスタンスが属するアサイン先グループに属するルールが実行されます。
マッピングタイプ	イベントフィールド値を変更するために使用されるマッピングメカニズム。フィールドをマップし、値を変換 (単一フィールド)： [ソースフィールド] の値を値ペアを変換 [em_mapping_pair] テーブルの一致する値にマッピングし、[ターゲットフィールド] に入力します。ソースおよびターゲットのフィールドは、イベントフィールド、追加情報フィールド、またはアラートタグです。フィールドを作成または更新し、定数値を設定 (定数)： [ターゲットフィールド] に定数値を設定します。[ターゲットフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。フィールドをマップ (フィールドをコピー)：ソースフィールドの正確な値を指定されたターゲットフィールドにコピーします。ソースおよびターゲットのフィールドは、イベントフィールド、追加情報フィールド、またはアラートタグです。フィールドをマップし、正規表現を使用して値を変換：汎用的に、ソースフィールドの値を [値ペアを変換] テーブルの一致する値にマッピングし、[ターゲットフィールド] に入力します。ソースおよびターゲットのフィールドは、イベント、追加情報、またはアラートタグのフィールドです。正規表現を使用してフィールドをマップ：汎用的に定義された [ソースフィールド] から [ターゲットフィールド] に値をコピーします。ソースフィールドは、イベント補足情報フィールドのフィールドである必要がありますターゲットフィールドは、イベント、追加情報、またはアラートタグのフィールドです。このタイプでは、正規表現 (regex) を使用してソースフィールドの名前を汎用的に検索できます。フィールドをマップし、正規表現グループから値をコピー：一部のソースフィールドの値をターゲットフィールドにコピーします。ソースおよびターゲットのフィールドは、イベントフィールド、追加情報フィールド、またはアラートタグです。[ソースフィールド] のどの部分をコピーするかを指定する正規表現を定義します。スクリプトを使用した詳細マッピング：スクリプトを使用して、イベント値を変換するための独自のロジックを実装します。[バインディング後に実行] チェックボックスを選択すると、CI バインディングフェーズの後にルールが実行され、入力パラメーターに CI の sys_id がある専用スクリプトが使用されます。警告：複雑なスクリプトは、イベント処理のパフォーマンスに影響を与える可能性があります。参照テーブルのマップフィールドこのルールタイプを使用して、[一致するフィールド (Field to match)] の値を [一致するアラートフィールド (Matching alert field)] の値と照合し、[ソースフィールド] の値を [ターゲットフィールド] にマッピングすることで、選択した参照テーブルから [ソースフィールド] の値を抽出します。一致するアラートフィールドおよびターゲットフィールドは、イベントフィールド、追加情報フィールド、またはアラートタグです。
フィルター	イベントフィールドマッピングの条件 [フィルター条件の追加] または [「OR」節を追加] を選択して、複数の条件を設定します。
有効	イベントフィールドマッピングを有効または無効にします。可能な場合は、別のイベントフィールドのマッピングルールを検索して適用します。
バインディング後に実行	選択すると、CI バインディングフェーズの後にルールが実行されます。関連するプリフィックスを使用して、CI レコードから値を取得します。 alert_cmdb_ci. CI レコードからフィールドを取得します。例：「alert_cmdb_ci.assignment_group」を使用して、アラートの「assignment_group」フィールドに CI のアサイン先グループの値を入力 (および変換) します。関連レコードへのドット連結も可能です。たとえば、alert_cmdb_ci.asset.model を使用します。 alert_cmdb_ci_key. CMDB タグテーブルから値を取得します。たとえば、alert_cmdb_ci_key.subscription です。警告：「バインディング後に実行」機能を使用すると、イベント処理のパフォーマンスに影響を与える可能性があります。注: このチェックボックスは、[フィールドをマップし、値を変換 (単一フィールド)]、[フィールドをマップ (フィールドをコピー)]、[フィールドをマップし、正規表現を使用して値を変換]、[フィールドをマップし、正規表現グループから値をコピー]、[参照テーブルでフィールドをマップ (Map field from reference table)] のマッピングタイプに対してのみ表示されます。

[フィールドをマップし、値を変換 (単一フィールド) (Map field and transform value (Single field))] を選択した場合は、必要に応じてフィールドに入力します。

表 : 2. [フィールドをマップし、値を変換 (単一フィールド)] のフィールド
フィールド	説明
ソースフィールド	イベントフィールド - すべてのイベントフィールドと追加情報フィールドが含まれます。注：[追加情報] フィールドには、「additional_info.<field name>」を使用します。[バインディング後に実行] チェックボックスをオンにすると、alert_cmdb_ci および alert_cmdb_ci_key プリフィックスを使用して CI 関連データを受信できます。
ターゲットフィールド	マッピングルールによって値が挿入または更新される [イベント] フィールド。このフィールドが [ソースフィールド] と同じである場合、マッピングルールは [イベント] フィールドのメモリーの値を更新します。アラートタグは、<t_> プリフィックスを使用して定義することもできます。
バインディング後に実行	オンにすると、CI バインディング後のイベントフィールドマッピングが有効になります。次のプリフィックスを使用して、CI レコードから値を取得します。 alert_cmdb_ci. CI レコードからフィールドを取得します。例：「alert_cmdb_ci.assignment_group」を使用して、アラートの「assignment_group」フィールドに CI のアサイン先グループの値を入力 (および変換) します。関連レコードへのドット連結も可能です。たとえば、alert_cmdb_ci.asset.model を使用します。 alert_cmdb_ci_key. CMDB タグテーブルから値を取得します。たとえば、alert_cmdb_ci_key.subscription です。警告：「バインディング後に実行」機能を使用すると、イベント処理のパフォーマンスに影響を与える可能性があります。

表 : 3. キーフィールド ([値ペアを変換] セクション)
フィールド	説明
キー	マッピングルールが検索する値。[イベント] フィールドにこの値がある場合は常に、マッピングルールによって [ソースフィールド] フィールドにリストされている値が [ターゲットフィールド] にリストされているフィールドに追加されます。このフィールドは、[マッピングタイプ] が [フィールドをマップし、値を変換 (単一フィールド)] の場合に表示されます。必要に応じて [+] を選択して、さらに [キー] フィールドを追加します。

一般的なユースケース： [追加情報] フィールドの [event_severity] フィールドに使用可能な値 (WARNING、MINOR、CRITICAL、CLEAR、MAJOR など) が入っているときに [重大度] フィールドにマップするには、次のように設定します。

ソースフィールド：「event_severity」
ターゲットフィールド：「重大度」
値ペアを変換：
- 変換前の値：「警告」、変換後の値：「4」
- 変換前の値：「マイナー」、変換後の値：「3」
- 以下同様

[フィールドを作成または更新し、定数値を設定 (定数) (Create or update field and set constant value (Constant))] を選択した場合は、必要に応じてフィールドに入力します。

表 : 4. [フィールドを作成または更新し、定数値を設定 (定数)] のフィールド
フィールド	説明
ターゲットフィールド	[ターゲットフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。一般的なユースケース：フィルターに一致するすべてのイベントに対して、アラートの重大度を 1 に設定します。
値	[移行先] フィールドに使用する値。このフィールドは、[マッピングタイプ] が [定数] の場合に表示されます。

一般的なユースケース：フィルターに一致するすべてのイベントに対して、アラートの重大度を 1 に設定します。

[フィールドをマップ (フィールドをコピー)] を選択した場合は、必要に応じてフィールドに入力します。

表 : 5. [フィールドをマップ (フィールドをコピー)] のフィールド
フィールド	説明
ソースフィールド	[ソースフィールド] の値を [ターゲットフィールド] フィールドにコピーします。 [ソースフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。
ターゲットフィールド	マッピングルールによって値が挿入または更新される [イベント] フィールド [ターゲットフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。
バインディング後に実行	オンにすると、CI バインディング後のイベントフィールドマッピングが有効になります。関連するプリフィックスを使用して、CI レコードから値を取得します。 alert_cmdb_ci. CI レコードからフィールドを取得します。例：「alert_cmdb_ci.assignment_group」を使用して、アラートの「assignment_group」フィールドに CI のアサイン先グループの値を入力 (および変換) します。関連レコードへのドット連結も可能です。たとえば、alert_cmdb_ci.asset.model を使用します。 alert_cmdb_ci_key. CMDB タグテーブルから値を取得します。たとえば、alert_cmdb_ci_key.subscription です。警告：「バインディング後に実行」機能を使用すると、イベント処理のパフォーマンスに影響を与える可能性があります。

一般的なユースケース： [IP] フィールドをイベント補足情報フィールドからアラートフィールドノードにコピーするには、次のように使用します。

[ソースフィールド]：IP
[ターゲットフィールド]：ノード

[フィールドをマップし、正規表現を使用して値を変換] を選択した場合は、必要に応じてフィールドに入力します。

表 : 6. フィールドをマップし、正規表現を使用して値を変換
フィールド	説明
ソースフィールド	[ソースフィールド] の値を [ターゲットフィールド] フィールドにコピーします。 [ソースフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。
ターゲットフィールド	マッピングルールによって値が挿入または更新される [イベント] フィールド [ターゲットフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。
バインディング後に実行	オンにすると、CI バインディング後のイベントフィールドマッピングが有効になります。関連するプリフィックスを使用して、CI レコードから値を取得します。 alert_cmdb_ci. CI レコードからフィールドを取得します。例：「alert_cmdb_ci.assignment_group」を使用して、アラートの「assignment_group」フィールドに CI のアサイン先グループの値を入力 (および変換) します。関連レコードへのドット連結も可能です。たとえば、alert_cmdb_ci.asset.model を使用します。 alert_cmdb_ci_key. CMDB タグテーブルから値を取得します。たとえば、alert_cmdb_ci_key.subscription です。警告：「バインディング後に実行」機能を使用すると、イベント処理のパフォーマンスに影響を与える可能性があります。

一般的なユースケース：[追加情報] フィールドのフィールドの色から [重大度] フィールドに重大度をマッピングするには、以下を使用します。

[ソースフィールド]：[色]
ターゲットフィールド：「重大度」
値ペアを変換：
- 変換前の値：「.*red」、変換後の値：「1」。これは、「dark red」、「light red」、および「red」を含むその他の値をカバーし、それらをすべて「1」にマップします。
- 以下同様

表 : 7. キーフィールド ([値ペアを変換] セクション)
フィールド	説明
キー	マッピングルールが検索する値。[イベント] フィールドにこの値がある場合は常に、マッピングルールによって [ソースフィールド] フィールドにリストされている値が [ターゲットフィールド] にリストされているフィールドに追加されます。このフィールドは、[マッピングタイプ] が [フィールドをマップし、値を変換 (単一フィールド)] の場合に表示されます。必要に応じて [+] を選択して、さらに [キー] フィールドを追加します。

[正規表現を使用してフィールドをマップ] を選択した場合は、必要に応じてフィールドに入力します。

表 : 8. [正規表現を使用してフィールドをマップ] のフィールド
フィールド	説明
ソースフィールド	汎用的に定義されたソースフィールドの値を [ターゲットフィールド] フィールドにコピーします。 [ソースフィールド] は、イベント補足情報フィールドのフィールドである必要があります。このタイプでは、正規表現 (regex) を使用してソースフィールドの名前を汎用的に検索できます。
ターゲットフィールド	マッピングルールによって値が挿入または更新される [イベント] フィールド [ターゲットフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。

一般的なユースケース：「tags.region」、「tags|region」、または「cloud.region」として表示される [additional_info] フィールドをアラートタグ t_region にマッピングするには、次を使用します。

[ソースフィールド]：*region
[ターゲットフィールド]：「t_region」

[フィールドをマップし、正規表現グループから値をコピー] を選択した場合は、必要に応じてフィールドに入力します。

表 : 9. [フィールドをマップし、正規表現グループから値をコピー] のフィールド
フィールド	説明
ソースフィールド	汎用的に定義されたソースフィールドの値を [ターゲットフィールド] フィールドにコピーします。ソースフィールドは、イベント補足情報フィールドのフィールドである必要がありますこのタイプでは、正規表現 (regex) を使用してソースフィールドの名前を汎用的に検索できます。
ターゲットフィールド	マッピングルールによって値が挿入または更新される [イベント] フィールド [ターゲットフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。
バインディング後に実行	オンにすると、CI バインディング後のイベントフィールドマッピングが有効になります。関連するプリフィックスを使用して、CI レコードから値を取得します。 alert_cmdb_ci. CI レコードからフィールドを取得します。例：「alert_cmdb_ci.assignment_group」を使用して、アラートの「assignment_group」フィールドに CI のアサイン先グループの値を入力 (および変換) します。関連レコードへのドット連結も可能です。たとえば、alert_cmdb_ci.asset.model を使用します。 alert_cmdb_ci_key. CMDB タグテーブルから値を取得します。たとえば、alert_cmdb_ci_key.subscription です。警告：「バインディング後に実行」機能を使用すると、イベント処理のパフォーマンスに影響を与える可能性があります。
正規表現グループ式	._._(.)_.

一般的なユースケース：IP から 3 番目のオクテットを抽出して [追加情報] の third_octet フィールドに保存するには、次を使用します。

[ソースフィールド]：IP
[ターゲットフィールド]：third_octet
[正規表現グループ式]：「.*_.*_(.*)_.*」

[スクリプトを使用した詳細マッピング] を選択した場合は、必要に応じてフィールドに入力します。

表 : 10. [スクリプトを使用した詳細マッピング] のフィールド
フィールド	説明
スクリプト	コードエディターは、インラインスクリプトのテキストエディターをサポートします。コードエディターには、サポートされている言語サービスとインラインスクリプトに対応する次のような機能があります。構文カラーリング、インデント、行番号、閉じ括弧と引用符の自動作成、自動提案、およびオートコンプリート機能。編集のヒント：コード内の任意の位置に固定スペースを挿入するには、Tab キーを押します。コードの 1 行をインデントするには、行の先頭の空白を選択して Tab キーを押します。コードの 1 行以上の行をインデントするには、対象のコードを選択して Tab キーを押します。インデントを減らすには、Shift+Tab キーを押します。コードの行の先頭から 1 つのタブを削除するには、行を選択して Shift+Tab キーを押します。変数を宣言するには、var キーワードを使用して、適切な JavaScript スコープ内に留まるようにします。
バインディング後に実行	[バインディング後に実行] チェックボックスを選択すると、CI バインディングフェーズの後にルールが実行され、入力パラメーターに CI の sys_id がある専用スクリプトが使用されます。警告：複雑なスクリプトは、イベント処理のパフォーマンスに影響を与える可能性があります。

[参照テーブルのフィールドをマップ] を選択した場合は、必要に応じてフィールドに入力します。

表 : 11. 参照テーブルでフィールドをマップフィールド
フィールド	説明
参照テーブル	参照テーブル。フィールドをイベントの [ターゲットフィールド] にマッピングするテーブルを選択します。
一致するフィールド	イベントの一致するアラートフィールドと照合される参照テーブルのフィールドフォーム。参照テーブルレコードを除外するために使用されます。
ソースフィールド	[ソースフィールド] の値を [ターゲットフィールド] フィールドにコピーします。 [ソースフィールド] は、参照テーブルとして選択されたテーブルのフィールドです。
一致するアラートフィールド	一致する参照テーブルレコードを検索するためのイベントフィールド。[一致するアラートフィールド (Matching alert field)] は、[一致するフィールド (Field to match)] フィールドと照合されます。 [一致するアラートフィールド (Matching alert field)] は、イベントフィールド、追加情報フィールド、またはアラートタグです。
ターゲットフィールド	マッピングルールによって値が挿入または更新される [イベント] フィールド [ターゲットフィールド] は、イベントフィールド、追加情報フィールド、またはアラートタグです。
バインディング後に実行	オンにすると、CI バインディング後のイベントフィールドマッピングが有効になります。関連するプリフィックスを使用して、CI レコードから値を取得します。 alert_cmdb_ci。[一致するアラートフィールド (Matching alert field)] で、CI レコードからフィールドの値を取得します。例:「alert_cmdb_ci.ip_address」は、バインドされた CI の IP アドレス情報を取得します。[一致するアラートフィールド (Matching alert field)] と [一致するフィールド (Field to match)] が参照フィールドである場合は、[一致するアラートフィールド (Matching alert field)] の sys_id へのドット連結が必要です。たとえば、バインドされた CI の「assignment_group」値を使用して [一致するフィールド (Field to match)] と照合するには、[一致するアラートフィールド (Matching alert field)] で次の式を使用します。alert_cmdb_ci.assignment_group.sys_id alert_cmdb_ci_key. CMDB タグテーブルから値を取得します。たとえば、alert_cmdb_ci_key.subscription です。警告：「バインディング後に実行」機能を使用すると、イベント処理のパフォーマンスに影響を与える可能性があります。

一般的なユースケース：イベントの追加情報フィールドの「name」フィールドと「cat_item_name」フィールドが一致する「pc_vendor_cat_item」レコードから「short_description」を抽出し、次のフィールドでイベントの「description」フィールドにマッピングします。

「参照テーブル」：pc_vendor_cat_item
「一致するフィールド」(Field to match)：name
「ソースフィールド」：short_description
「一致するアラートフィールド」(Matching alert field): cat_item_name
「ターゲットフィールド」：description

フォームヘッダーを右クリックし、[保存] を選択します。
[送信] を選択します。

例

次の値は、Trap From Enterprise 9 クラスでイベントに適用される事前定義されたルールを構成します。イベントに snmpTrapOID 要素が含まれていて、その値が iso.org.dod.internet.private.enterprises.cisco.0.0 である場合、マッピングルールは値をそのアラートで reload に変更します。イベントに snmpTrapOID 要素が含まれていて、その値が iso.org.dod.internet.private.enterprises.cisco.0.1 である場合、マッピングルールは値をそのアラートで tcpConnectionClose に変更します。

フィールド	値
名前	cisco.snmpTrapOID
ソース	Trap From Enterprise 9
マッピングタイプ	フィールドをマップし、値を変換 (単一フィールド)。
ソースフィールド	snmpTrapOID
ターゲットフィールド	snmpTrapOID
値ペアを変換	ペア 1 キー：iso.org.dod.internet.private.enterprises.cisco.0.0 値：reload ペア 2 キー：iso.org.dod.internet.private.enterprises.cisco.0.1 値：tcpConnectionClose

次のタスク

イベントフィールドマッピングに存在するフィールドを含むイベントを送信して、イベントフィールドマッピングをテストします。