이벤트 필드 매핑 생성

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기14분

이벤트 필드 매핑을 사용하여 특정 이벤트 필드의 값을 다른 필드의 값에 매핑함으로써 경보에 보다 포괄적인 정보를 제공합니다. 이벤트 규칙에서 팀 기반 통합을 사용하여 커넥터 소유권과 규칙 실행이 전역 규칙보다 우선하도록 합니다. 팀은 유연성과 커스터마이제이션 옵션을 제공하면서 일관성과 계층 구조를 유지할 수 있습니다.

시작하기 전에

필요한 역할: evt_mgmt_admin

이 태스크 정보

해당 클래스 및 원래 값으로 이벤트와 일치시킬 규칙을 생성하십시오. 또한 이벤트의 원래 값을 대체할 새 값을 지정하십시오.

프로시저

다음으로 이동 모두 > 이벤트 관리 > 규칙 > 이벤트 필드 매핑.

새로 만들기를 선택하거나 기존 규칙을 열어 필드 내용을 편집하고 입력합니다.

표 1. 이벤트 필드 매핑 양식
필드	설명
이름	이벤트 필드 매핑 이름입니다.
소스	SolarWinds나 SCOM 등 이벤트를 생성한 이벤트 모니터링 소프트웨어입니다. 최대 길이: 100자.
주문	이 작업이 처리되어야 하는 순서를 정의하는 숫자입니다. 숫자가 낮은 작업이 먼저 처리됩니다.
할당 그룹	팀 기반 통합의 경우 할당 그룹을 선택합니다. 이벤트 필드 매핑 규칙에 할당 그룹이 정의되지 않은 경우 해당 규칙은 전역 규칙으로 간주됩니다. 규칙이 실행될 때는 먼저 전역 규칙이 실행된 다음 이벤트의 소스 인스턴스가 속한 할당 그룹에 속한 규칙이 실행됩니다.
매핑 유형	이벤트 필드 값을 변경하는 데 사용되는 매핑 메커니즘입니다. 필드 및 변환 값 매핑(단일 필드): 소스 필드 값을 변환 값 쌍 [em_mapping_pair] 테이블에서 일치하는 값에 매핑하고 대상 필드를 채웁니다. 소스 및 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다. 필드 생성 또는 업데이트 및 상수 값 설정(상수): 상수 값을 대상 필드로 설정합니다. 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다. 필드 매핑(필드 복사): 소스 필드의 정확한 값을 지정된 대상 필드에 복사합니다. 소스 및 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다. 정규 표현식을 사용한 필드 및 변환 값 매핑: 일반적으로 소스 필드 값을 변환 값 쌍 [em_mapping_pair] 테이블에서 일치하는 값에 매핑하고 대상 필드를 채웁니다. 소스 및 대상 필드는 이벤트, 추가 정보 또는 경보 태그 필드일 수 있습니다. 정규 표현식을 사용한 필드 매핑: 일반적으로 정의된 소스 필드의 값을 대상 필드로 복사합니다. 소스 필드는 이벤트 추가 정보 필드의 필드여야 합니다. 대상 필드는 이벤트, 추가 정보 또는 경보 태그 필드일 수 있습니다. 이 유형을 사용하면 일반적으로 regex(정규 표현식)를 사용하여 소스 필드의 이름을 찾을 수 있습니다. 정규 표현식 그룹에서 필드 매핑 및 값 복사: 소스 필드 값의 일부를 대상 필드에 복사합니다. 소스 및 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다. 정규 표현식으로 정의하여 소스 필드의 어떤 부분을 복사해야 하는지 지정합니다. 스크립트를 사용한 고급 매핑: 스크립트를 사용하여 이벤트 값 변환에 대한 고유한 로직을 구현합니다. '바인딩 후 실행' 확인란을 선택하면 CI 바인딩 단계 후에 규칙이 실행되고 입력 매개변수에 CI의 sys_id가 있는 전용 스크립트를 사용합니다. 경고: 복잡한 스크립트는 이벤트 처리 성능에 영향을 줄 수 있습니다. 참조 테이블의 맵 필드 이 규칙 유형을 사용하여 일치시킬 필드 값을 일치하는 경보 필드 값과 매칭한 다음, 소스 필드 값을 대상 필드에 매핑하여 선택한 참조 테이블에서 소스 필드 값을 추출합니다. 일치하는 경보 필드 및 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
필터	이벤트 필드 매핑에 대한 조건입니다. 필터 조건 추가 또는 "OR" 절 추가를 선택하여 여러 조건을 구성합니다.
활성	이벤트 필드 매핑을 활성화 또는 비활성화합니다. 가능한 경우 다른 이벤트 필드 매핑 규칙을 찾아 적용합니다.
바인딩 후 실행	이 옵션을 선택하면 CI 바인딩 단계 후에 규칙이 실행됩니다. 관련 프리픽스를 사용하여 CI 기록에서 값을 검색합니다. alert_cmdb_ci. CI 기록에서 필드를 검색합니다. 예를 들어 'alert_cmdb_ci.assignment_group'을 사용하여 'assignment_group' 경보 필드를 CI의 할당 그룹 값으로 채우고 변환합니다. 관련 기록에 대한 닷워킹도 가능합니다. 예를 들어 alert_cmdb_ci.asset.model을 사용합니다. alert_cmdb_ci_key. CMDB 태그 테이블에서 값을 검색합니다. 예를 들어 alert_cmdb_ci_key.subscription 메모입니다. 경고: '바인딩 후 실행' 기능을 사용하면 이벤트 처리 성능에 영향을 줄 수 있습니다. 주: 이 확인란은 필드 및 변환 값 매핑(단일 필드), 필드 매핑(필드 복사), 정규 표현식을 사용한 필드 및 변환 값 매핑, 정규 표현식 그룹에서 필드 매핑 및 값 복사, 참조 테이블의 맵 필드 매핑 유형에만 표시됩니다.

필드 및 변환 값 매핑(단일 필드)을 선택한 경우 필드를 적절히 입력합니다.

표 2. 필드 및 변환 값 매핑(단일 필드) 필드
필드	설명
소스 필드	매핑할 이벤트 필드에는 모든 이벤트 및 추가 정보 필드가 포함됩니다. 참고: 추가 정보 필드에는 "additional_info.<필드 이름>"을 사용합니다. '바인딩 후 실행' 확인란을 선택하면 alert_cmdb_ci 및 alert_cmdb_ci_key 프리픽스를 사용하여 CI 관련 데이터를 받을 수 있습니다.
대상 필드	매핑 규칙이 값을 삽입하거나 업데이트하는 이벤트 필드입니다. 이 필드가 소스 필드와 동일할 경우 매핑 규칙은 이벤트 필드의 메모리에서 값을 업데이트합니다. <t_> 프리픽스를 사용하여 경보 태그를 정의할 수도 있습니다.
바인딩 후 실행	선택하면 CI 바인딩 후 이벤트 필드 매핑이 활성화됩니다. 다음 프리픽스를 사용하여 CI 기록에서 값을 검색합니다. alert_cmdb_ci. CI 기록에서 필드를 검색합니다. 예를 들어 'alert_cmdb_ci.assignment_group'을 사용하여 'assignment_group' 경보 필드를 CI의 할당 그룹 값으로 채우고 변환합니다. 관련 기록에 대한 닷워킹도 가능합니다. 예를 들어 alert_cmdb_ci.asset.model을 사용합니다. alert_cmdb_ci_key. CMDB 태그 테이블에서 값을 검색합니다. 예를 들어 alert_cmdb_ci_key.subscription 메모입니다. 경고: '바인딩 후 실행' 기능을 사용하면 이벤트 처리 성능에 영향을 줄 수 있습니다.

표 3. 주요 필드(변환 값 쌍 섹션)
필드	설명
키	매핑 규칙이 검색하는 값입니다. 이벤트 필드에 이 값이 있을 때마다 매핑 규칙은 소스 필드 필드에 목록화된 값을 대상 필드에 목록화된 필드에 추가합니다. 이 필드는 매핑 유형이 필드 및 변환 값 매핑(단일 필드)인 경우 표시됩니다. 필요에 따라 +를 선택하여 키 필드를 더 추가합니다.

일반적인 사용 사례: 추가 정보 필드의 'event_severity' 필드를 가능한 값(예: 경고, 경미, 심각, 해제, 중요)으로 심각도 필드에 매핑하려면 다음을 구성합니다.

소스 필드: 'event_severity'
대상 필드: 'severity'
변환 값 쌍:
- 변환 전 값: '경고', 변환 후 값: '4'
- 변환 전 값: '경미', 변환 후 값: '3'
- 등등...

필드 생성 또는 업데이트 및 상수 값 설정(상수)을 선택한 경우 필드를 적절히 입력합니다.

표 4. 필드 생성 또는 업데이트 및 상수 값 설정(상수) 필드
필드	설명
대상 필드	대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다. 일반적인 사용 사례: 필터와 일치하는 모든 이벤트에 대해 경보 심각도를 1로 설정합니다.
값	대상 필드에 사용할 값입니다. 이 필드는 매핑 유형이 상수일 경우에 표시됩니다.

일반적인 사용 사례: 필터와 일치하는 모든 이벤트에 대해 경보 심각도를 1로 설정합니다.

필드 매핑(필드 복사)을 선택한 경우 필드를 적절히 입력합니다.

표 5. 필드 매핑(필드 복사) 필드
필드	설명
소스 필드	대상 필드 필드로 복사할 소스 필드 값입니다. 소스 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
대상 필드	매핑 규칙이 값을 삽입하거나 업데이트하는 이벤트 필드입니다. 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
바인딩 후 실행	선택하면 CI 바인딩 후 이벤트 필드 매핑이 활성화됩니다. 관련 프리픽스를 사용하여 CI 기록에서 값을 검색합니다. alert_cmdb_ci. CI 기록에서 필드를 검색합니다. 예를 들어 'alert_cmdb_ci.assignment_group'을 사용하여 'assignment_group' 경보 필드를 CI의 할당 그룹 값으로 채우고 변환합니다. 관련 기록에 대한 닷워킹도 가능합니다. 예를 들어 alert_cmdb_ci.asset.model을 사용합니다. alert_cmdb_ci_key. CMDB 태그 테이블에서 값을 검색합니다. 예를 들어 alert_cmdb_ci_key.subscription 메모입니다. 경고: '바인딩 후 실행' 기능을 사용하면 이벤트 처리 성능에 영향을 줄 수 있습니다.

일반적인 사용 사례: 이벤트 추가 정보 필드에서 경보 필드 노드로 IP 필드를 복사하려면 다음을 사용합니다.

'소스 필드': ip
'대상 필드': node

정규 표현식을 사용한 필드 및 변환 값 매핑을 선택한 경우 필드를 적절히 입력합니다.

표 6. 정규 표현식을 사용한 필드 및 변환 값 매핑
필드	설명
소스 필드	대상 필드 필드로 복사할 소스 필드 값입니다. 소스 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
대상 필드	매핑 규칙이 값을 삽입하거나 업데이트하는 이벤트 필드입니다. 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
바인딩 후 실행	선택하면 CI 바인딩 후 이벤트 필드 매핑이 활성화됩니다. 관련 프리픽스를 사용하여 CI 기록에서 값을 검색합니다. alert_cmdb_ci. CI 기록에서 필드를 검색합니다. 예를 들어 'alert_cmdb_ci.assignment_group'을 사용하여 'assignment_group' 경보 필드를 CI의 할당 그룹 값으로 채우고 변환합니다. 관련 기록에 대한 닷워킹도 가능합니다. 예를 들어 alert_cmdb_ci.asset.model을 사용합니다. alert_cmdb_ci_key. CMDB 태그 테이블에서 값을 검색합니다. 예를 들어 alert_cmdb_ci_key.subscription 메모입니다. 경고: '바인딩 후 실행' 기능을 사용하면 이벤트 처리 성능에 영향을 줄 수 있습니다.

일반적인 사용 사례: 추가 정보 필드의 필드 색상에서 심각도 필드로 심각도를 매핑하려면 다음을 사용합니다.

소스 필드: 'color'
대상 필드: 'severity'
변환 값 쌍:
- 변환 전 값: '.*빨간색', 변환 후 값: '1' 이는 '진한 빨간색', '연한 빨간색', 그 외 '빨간색'을 포함하는 값을 모두 포함해 전부 '1'로 매핑합니다.
- 등등...

표 7. 주요 필드(변환 값 쌍 섹션)
필드	설명
키	매핑 규칙이 검색하는 값입니다. 이벤트 필드에 이 값이 있을 때마다 매핑 규칙은 소스 필드 필드에 목록화된 값을 대상 필드에 목록화된 필드에 추가합니다. 이 필드는 매핑 유형이 필드 및 변환 값 매핑(단일 필드)인 경우 표시됩니다. 필요에 따라 +를 선택하여 키 필드를 더 추가합니다.

정규 표현식을 사용한 필드 매핑을 선택한 경우 필드를 적절히 입력합니다.

표 8. 정규 표현식을 사용한 필드 매핑 필드
필드	설명
소스 필드	대상 필드 필드로 복사하도록 일반적으로 정의된 소스 필드 값입니다. 소스 필드는 이벤트 추가 정보 필드의 필드여야 합니다. 이 유형을 사용하면 일반적으로 regex(정규 표현식)를 사용하여 소스 필드의 이름을 찾을 수 있습니다.
대상 필드	매핑 규칙이 값을 삽입하거나 업데이트하는 이벤트 필드입니다. 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.

일반적인 사용 사례: 'tags.region' 또는 'tags|region' 또는 'cloud.region'으로 표시되는 additional_info 필드의 'region' 필드를 경보 태그 t_region에 매핑하려면 다음을 사용합니다.

'소스 필드': *region
'대상 필드': t_region

정규 표현식 그룹에서 필드 매핑 및 값 복사를 선택한 경우 필드를 적절히 입력합니다.

표 9. 정규 표현식 그룹에서 필드 매핑 및 값 복사
필드	설명
소스 필드	대상 필드 필드로 복사하도록 일반적으로 정의된 소스 필드 값입니다. 소스 필드는 이벤트 추가 정보 필드의 필드여야 합니다. 이 유형을 사용하면 일반적으로 regex(정규 표현식)를 사용하여 소스 필드의 이름을 찾을 수 있습니다.
대상 필드	매핑 규칙이 값을 삽입하거나 업데이트하는 이벤트 필드입니다. 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
바인딩 후 실행	선택하면 CI 바인딩 후 이벤트 필드 매핑이 활성화됩니다. 관련 프리픽스를 사용하여 CI 기록에서 값을 검색합니다. alert_cmdb_ci. CI 기록에서 필드를 검색합니다. 예를 들어 'alert_cmdb_ci.assignment_group'을 사용하여 'assignment_group' 경보 필드를 CI의 할당 그룹 값으로 채우고 변환합니다. 관련 기록에 대한 닷워킹도 가능합니다. 예를 들어 alert_cmdb_ci.asset.model을 사용합니다. alert_cmdb_ci_key. CMDB 태그 테이블에서 값을 검색합니다. 예를 들어 alert_cmdb_ci_key.subscription 메모입니다. 경고: '바인딩 후 실행' 기능을 사용하면 이벤트 처리 성능에 영향을 줄 수 있습니다.
정규 표현식 그룹 식	._._(.)_.

일반적인 사용 사례: IP에서 세 번째 옥텟을 추출하고 추가 정보 third_octet 필드에 저장하려면 다음을 사용합니다.

'소스 필드': ip
'대상 필드': third_octet
'정규 표현식 그룹 식': .*_.*_(.*)_.*

스크립트를 사용한 고급 매핑을 선택한 경우 필드를 적절히 입력합니다.

표 10. 스크립트를 사용한 고급 매핑 필드
필드	설명
스크립트	코드 편집기는 인라인 스크립트에 대한 텍스트 편집기 지원을 제공합니다. 코드 편집기에는 지원되는 언어 서비스 및 인라인 스크립트에 대해 구문 색상 적용, 들여쓰기, 줄 번호, 닫는 중괄호 및 따옴표 자동 생성, 자동 제안 및 자동 완성 등의 기능이 있습니다. 편집 팁: 코드의 원하는 위치에 고정 공백을 삽입하려면 Tab 키를 누릅니다. 코드를 한 줄 들여 쓰려면 줄의 선행 공백을 선택한 다음 Tab 키를 누릅니다. 코드를 한 줄 이상 들여 쓰려면 코드를 선택한 다음 Tab 키를 누릅니다. 들여쓰기를 줄이려면 Shift+Tab을 누릅니다. 코드 줄의 시작부에서 탭 하나를 제거하려면 줄을 선택하고 Shift+Tab을 누릅니다. 변수를 선언하려면 var 키워드를 사용하여 이를 적절한 JavaScript 범위 내에 유지합니다.
바인딩 후 실행	'바인딩 후 실행' 확인란을 선택하면 CI 바인딩 단계 후에 규칙이 실행되고 입력 매개변수에 CI의 sys_id가 있는 전용 스크립트를 사용합니다. 경고: 복잡한 스크립트는 이벤트 처리 성능에 영향을 줄 수 있습니다.

참조 테이블의 맵 필드를 선택한 경우 필드를 적절히 입력합니다.

표 11. '참조 테이블의 맵 필드' 필드
필드	설명
참조 테이블	참조 테이블입니다. 필드가 이벤트의 대상 필드에 매핑될 테이블을 선택합니다.
일치시킬 필드	이벤트의 일치하는 경보 필드와 매칭할 참조 테이블의 필드입니다. 참조 테이블 기록을 필터링하는 데 사용됩니다.
소스 필드	대상 필드 필드로 복사할 소스 필드 값입니다. 소스 필드는 참조 테이블로 선택된 테이블의 필드입니다.
일치하는 경보 필드	일치하는 참조 테이블 기록을 찾는 이벤트 필드입니다. 일치하는 경보 필드는 일치시킬 필드와 매칭됩니다. 일치하는 경보 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
대상 필드	매핑 규칙이 값을 삽입하거나 업데이트하는 이벤트 필드입니다. 대상 필드는 이벤트 필드, 추가 정보 필드 또는 경보 태그일 수 있습니다.
바인딩 후 실행	선택하면 CI 바인딩 후 이벤트 필드 매핑이 활성화됩니다. 관련 프리픽스를 사용하여 CI 기록에서 값을 검색합니다. alert_cmdb_ci. 일치하는 경보 필드에서는 CI 기록에서 필드의 값을 검색합니다. 예를 들어 'alert_cmdb_ci.ip_address'는 바인딩된 CI의 IP 주소 정보를 검색합니다. 일치하는 경보 필드 및 일치시킬 필드 필드가 참조 필드인 경우 일치하는 경보 필드에 sys_id 닷워킹이 필요합니다. 예를 들어, 일치시킬 필드 필드와 매칭되도록 바인딩 CI의 'assignment_group' 값을 사용하려면 일치하는 경보 필드에서 alert_cmdb_ci.assignment_group.sys_id 표현식을 사용합니다. alert_cmdb_ci_key. CMDB 태그 테이블에서 값을 검색합니다. 예를 들어 alert_cmdb_ci_key.subscription 메모입니다. 경고: '바인딩 후 실행' 기능을 사용하면 이벤트 처리 성능에 영향을 줄 수 있습니다.

일반적인 사용 사례: 이벤트의 추가 정보 필드에 있는 'cat_item_name' 필드와 'name' 필드가 일치하는 'pc_vendor_cat_item' 기록에서 'short_description'을 추출하고 이를 다음 필드에 있는 이벤트의 'description' 필드에 매핑합니다.

'참조 테이블': pc_vendor_cat_item
'일치시킬 필드': name
'소스 필드': short_description
'일치하는 경보 필드': cat_item_name
'대상 필드': description

양식 헤더를 마우스 오른쪽 버튼으로 클릭하고 저장을 선택합니다.
제출을 선택합니다.

예

다음 값은 Trap From Enterprise 9 클래스의 이벤트에 적용되는 미리 정의된 규칙을 구성합니다. 이벤트에 값이 iso.org.dod.internet.private.enterprises.cisco.0.0인 snmpTrapOID 요소가 포함된 경우 매핑 규칙이 경보에서 값을 reload로 변경합니다. 이벤트에 값이 iso.org.dod.internet.private.enterprises.cisco.0.1인 snmpTrapOID 요소가 포함된 경우 매핑 규칙이 경보에서 값을 tcpConnectionClose로 변경합니다.


필드	값
이름	cisco.snmpTrapOID
소스	Trap From Enterprise 9
매핑 유형	필드 및 변환 값을 매핑합니다(단일 필드).
소스 필드	snmpTrapOID
대상 필드	snmpTrapOID
변환 값 쌍	쌍 1 키: iso.org.dod.internet.private.enterprises.cisco.0.0 값: reload 쌍 2 키: iso.org.dod.internet.private.enterprises.cisco.0.1 값: tcpConnectionClose

다음에 수행할 작업

이벤트 필드 매핑에 있는 필드가 포함된 이벤트를 전송하여 이벤트 필드 매핑을 테스트합니다.