イベントフィールドマッピング構成
イベントフィールドマッピングルールを使用して、特定のフィールドの値を他のフィールドの値にマッピングします。
イベント管理 は、イベントフィールドマッピング [em_mapping_rule] テーブルにイベントフィールドマッピングを保存します。マッピングは、イベントルール処理の後、アラート生成の前に適用されます。イベントマッピングのペア [em_mapping_pair] テーブルのマッピング値は、アラートに適用されます。元のイベント重大度は変更されないままです。
たとえば、イベントにフィールド「org_severity」があり、その値が「Low, Medium, High」である場合、アラートの [重大度] にこの値を保持するには、次の値を使用して、フィールド org_severity を [重大度] にマッピングするイベントフィールドマッピングルールを作成します。
| 元の org_severity 値 | アラートの重大度値にマッピング |
|---|---|
| 低 | Warning |
| 中 | メジャー |
| 高 | 重大 |
デフォルトのイベントフィールドマッピング
イベント管理 では、一般的に使用されるシステムモニタリングツールのデフォルトのイベントフィールドマッピングを提供しています。イベントフィールドマッピングからの [値ペアを変換] によって、イベント管理 の受信イベントデータの形式が設定されます。
に移動すると、デフォルトのイベントフィールドマッピングとマッピングペアを表示できます をクリックし、[ 名前] をダブルクリックします。