이벤트 수집의 이벤트 필드 형식

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 이벤트 관리를 사용하려면 모든 이벤트가 인스턴스에 도착하는 방식에 관계없이 표준 양식을 사용해야 합니다.

    애플리케이션 탐색 필터에 em_event.list를 입력합니다.

    표 1. 이벤트 양식
    이름 설명
    em_event.source

    [소스]

    		 SolarWinds나 SCOM 등 이벤트를 생성한 이벤트 모니터링 소프트웨어입니다. 최대 길이: 100자.
    em_event.node

    [노드]

    		 노드 이름, 전체 주소 도메인 이름(FQDN), IP 주소 또는 IBM-ASSET 등 이벤트와 연결된 MAC 주소. 최대 길이: 100자.
    em_event.type

    [유형]

    		 옵션입니다. 디스크, CPU 등 이벤트가 연관되는 메트릭 유형입니다. 경보가 생성된 이벤트 기록을 식별하는 데 사용됩니다. 최대 길이: 100자.
    em_event.resource

    [자원]

    		 이벤트와 관련된 노드 자원입니다. 예를 들면 디스크 C, CPU-1, 프로세스 이름 또는 서비스입니다. 최대 길이: 100자.
    metric_name

    [메트릭 이름]

    		 DB 디스크 여유 공간(MB), 디스크 쓰기/초 또는 D디스크 쓰기 바이트/초 등의 측정된 메트릭 이름입니다.
    em_event.event_class

    [소스 인스턴스]

    		 em_event.node 필드를 지정하지 않으면 경보를 자동으로 생성해야 합니다. em_event.event_clas 필드의 값은 이벤트를 생성한 소스 또는 이벤트 규칙에서 시작됩니다. 이벤트를 생성한 컴퓨터 또는 소프트웨어의 이름입니다. 예: 10.22.33.44의 SolarWinds. 해당 필드 표시 이름은 소스 인스턴스입니다.
    em_event.message_key

    [메시지 키]

    		 같은 경고와 관련된 복수의 이벤트를 식별하는 고유 이벤트 식별자입니다. 이 값이 비어 있으면 소스, 노드, 유형, 자원메트릭 이름 필드 값에서 생성됩니다. 최대 길이: 1024자.
    em_event.ci_type

    [CI 유형]

    		 CI 유형에 대한 정보를 포함하는 문자열입니다. 최대 길이: 100자.
    em_event.severity

    [심각도]

    		 이벤트 심각도 옵션은 다음과 같습니다.
    • 심각: 즉각적인 조치가 필요합니다. 자원이 작동하지 않거나 중요한 문제가 곧 발생합니다.
    • 중요: 주요 기능에 심각한 장애가 있거나 성능이 저하되었습니다.
    • 경미: 부분적이거나 중요하지 않은 기능의 손실 또는 성능 저하가 발생했습니다.
    • 경고: 자원은 여전히 작동하지만 주의가 필요합니다.
    • 정상:경보가 생성됩니다. 자원이 여전히 작동하고 있습니다.
    • 무결: 작업이 필요하지 않습니다. 이 이벤트에서는 경보가 생성되지 않습니다. 기존 경보는 종결됩니다.
    em_event.resolution_state

    [해결 상태]

    		 옵션입니다. 필드가 비어 있으면 해당 경보에 대한 해결은 여전히 보류 중입니다. 이벤트 소스의 이벤트 상태는 신규 또는 종결 중 하나입니다.
    • 신규에서는 해당 경보에 대한 해결이 열려 있습니다.
    • 종결 이벤트 상태는 해당 경보를 종결합니다.
    em_event.time_of_event

    [이벤트 시간]

    		 이벤트가 소스 시스템에서 발생한 시간입니다. 이 필드는 UTC 또는 GMT 형식의 GlideDateTime 필드입니다. 최대 길이: 40자.
    em_event.state

    [상태]

    		 이벤트의 현재 처리 상태:
    • 준비: : 이벤트를 수신했으며 처리를 기다리고 있습니다.
    • 처리됨: 이벤트가 성공적으로 처리되었습니다.
    • 무시됨: 값이 사용되지 않습니다.
    • 오류: 이벤트를 처리하는 동안 오류가 발생했습니다. 예를 들어, 이벤트 수집 메서드 또는 이벤트 심각도가 비어있게 됩니다.
    em_event.alert

    [경보]

    		 경보가 이벤트의 결과로 생성된 경우 이 필드에는 경보를 식별하기 위해 이벤트 관리가 생성하는 고유 ID가 포함됩니다.
    em_event.description

    [설명]

    		 이벤트가 생성된 이유입니다. 문제에 대한 추가 정보를 표시합니다. 예를 들면 서버 스택 추적 또는 모니터링 툴의 세부 사항 등입니다. 최대 길이: 4000자.
    em_event.additional_info

    [추가 정보]

    		 옵션입니다. 이벤트에 대한 추가 정보를 제공하는 JSON 문자열입니다. JSON 데이터는 문자열 값에만 사용할 수 있으며 다른 값 형식은 지원되지 않습니다. 숫자를 큰따옴표로 묶어 문자열 값으로 변환해야 합니다. 예를 들어 {"CPU": 100} 값은 지원되지 않지만 {"CPU": "100"} 값은 지원됩니다. 올바른 JSON 문자열의 또 다른 예는 다음과 같습니다. {"evtComponent":"Microsoft-Windows-WindowsUpdateClient","evtMessage":"Installation Failure: Windows failed. 오류 0x80070490"}. 이 정보는 외부 공급업체 통합 이나 기타 사후 경보 처리에 사용할 수 있습니다. JSON 키/값 양식에 없는 이벤트의 추가 정보 필드에 있는 값은 이벤트가 처리될 때 json 키/값 형식으로 표준화됩니다. 예를 들어 일반 텍스트 "연결 인스턴스 성공"이 추가 정보 필드에 있다고 가정하겠습니다. 이 이벤트가 처리되면 이 일반 텍스트는 모두 하나의 JSON 문자열이 되며 경보 내에서 유용하지 않을 수 있습니다. 그 결과로 인한 경보에서 이 문자열은 {"additional_content": "연결 인스턴스 성공"} 데이터를 포함한 채로 JSON 키/값 형식의 추가 정보 필드에 있습니다.
    processing_notes

    [처리 메모]

    		 이벤트 처리 로그의 표시입니다.