Criar mapeamentos de campo de evento

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

15 min. de leitura

Use mapeamentos de campo de evento para mapear valores de campos de evento específicos para valores em outros campos para fornecer informações mais abrangentes em um alerta. Use integrações baseadas em equipe em regras de evento para garantir que a propriedade do conector e a execução de regras deem precedência às regras globais. As equipes podem manter a consistência e a hierarquia enquanto oferecem flexibilidade e opções de personalização.

Antes de Iniciar

Função necessária: evt_mgmt_admin

Por Que e Quando Desempenhar Esta Tarefa

Crie a regra para corresponder ao evento por sua classe e valores originais. Além disso, especifique os novos valores para substituir os valores originais no evento.

Procedimento

Navegar até Todos > Event Management > Regras > Mapeamento de Campo de Evento.

Selecione Novo ou abra uma regra existente para editar e preencher os campos.

Tabela 1. Formulário Mapeamento de campo de evento
Campo	Descrição
Nome	nome do mapeamento do campo de evento.
Fonte	Software de monitoramento de eventos que gerou o evento, como SolarWinds ou SCOM. Tamanho máximo: 100 caracteres.
Ordem	Número que define a ordem na qual esta ação deve ser processada. Ações com números menores são processadas primeiro.
Grupo de atribuição	Para integrações baseadas em equipe, selecione um grupo de atribuição. Se nenhum grupo de atribuição for definido na regra de mapeamento de campo de evento, essa regra será considerada global. Quando as regras estão em execução, primeiro as regras globais são executadas e, em seguida, as regras que pertencem ao grupo de atribuição ao qual a instância de origem do evento pertence.
Tipo de mapeamento	mecanismo de mapeamento usado para alterar o valor de um campo de evento. Campo de mapa e valor de transformação (Campo único): Mapeia o valor do campo de origem para o valor correspondente na tabela Transformar pares de valores [em_mapping_pair] e preenches o campo de destino. Os campos Origem e Destino podem ser campos de evento, campos de informações adicionais ou marcadores de alerta. Crie ou atualize o campo e defina o valor constante (Constante): Define um valor constante para um Campo de destino. O campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta. Campo de mapa (campo Copiar): Copia o valor exato de um campo de origem para o campo de destino especificado. Os campos Origem e Destino podem ser Ecampo de evento, campo de informações adicionaisou marcadores de alerta. Mapear campo e transformar valor usando regex: mapeia genericamente o valor do campo Origem para o valor correspondente na tabela Transformar pares de valores e preenche o campo Destino. Os campos Origem e Destino podem ser eventos, informações adicionais ou campos de marcadores de alerta. Mapear campo usando regex: Copia o valor de um campo Origem definido genericamente para o campo Destino. O campo Origem deve ser um campo de informações adicionais do evento. O campo de destino pode ser o campo de evento, informações adicionais ou marcador de alerta. Com este tipo, você pode encontrar genericamente o nome do campo Origem usando uma expressão regular (regex). Campo de mapa e valor de cópia do grupo de regex: Copia parte do valor do campo Origem para o campo Destino. Os campos Origem e Destino podem ser campos de evento, campos de informações adicionais ou marcadores de alerta. Defina um regex para especificar qual parte do campo Origem deve ser copiada. Mapeamento avançado usando script: Implementes sua própria lógica para transformação de valores de evento usando um script. Quando a caixa de seleção "Executar após vinculação" está marcada, a regra é executada após a fase de vinculação do IC e usa o script dedicado que também tem o sys_id do IC nos parâmetros de entrada. Aviso: scripts complexos podem afetar o desempenho do processamento de eventos. Mapear campo da tabela de referência Use este tipo de regra para extrair um valor de campo de origem da tabela de referência selecionada, correspondendo o valor do campo de correspondênciaao valor do campo de alerta correspondente e, em seguida, mapeando o valor do campo de origem para o campo de destino. O campo de alerta correspondente e o campo de destino podem ser campos de evento, campos de informações adicionais ou marcadores de alerta.
Filtro	Uma condição para o mapeamento de campo de evento. Selecione Adicionar condição de filtro ou Adicionar cláusula "OR" para configurar várias condições.
Ativo	Ativa ou desativa o mapeamento do campo de evento. Se possível, localize e aplique outra regra de mapeamento de campo de evento.
Executar após a vinculação	Quando selecionada, a regra é executada após a fase de vinculação do IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. para recuperar um campo do registro de IC. Por exemplo: use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. Também é possível fazer referência com pontos a um registro relacionado. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. para recuperar um valor da tabela de marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription anotações. Aviso: o uso do recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos. Nota: Esta caixa de seleção é exibida somente para os seguintes tipos de mapeamento: Mapear campo e valor de transformação (Campo único), Mapear campo (campo Copiar), Mapear campo e transformar valor usando regex, Mapear campo e copiar valor do grupo de regexe Mapear campo de tabela de referência.

Se você selecionou Mapear campo e transformar valor (Campo único), preencha os campos conforme apropriado.

Tabela 2. Mapear campos e transformar valor (Campo único)
Campo	Descrição
Campo de origem	Campo de evento para mapear - inclui todos os campos de evento e informações adicionais. Observação: para campos de informações adicionais, use: "additional_info.<field name> ". Quando a caixa de seleção "Executar após vinculação" estiver marcada, você poderá usar os prefixos alert_cmdb_ci e alert_cmdb_ci_key para receber dados relacionados ao IC.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. Quando este campo é idêntico ao campo Origem, a regra de mapeamento atualiza o valor na memória do campo de evento. Os marcadores de alerta também podem ser definidos usando o prefixo <t_>.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o seguinte prefixo para recuperar valores do registro de IC: alert_cmdb_ci. para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. Também é possível fazer referência com pontos a um registro relacionado. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. para recuperar um valor da tabela de marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription anotações. Aviso: o uso do recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Tabela 3. Campos de chave (seção Transformar pares de valores)
Campo	Descrição
Chave	Valor que a regra de mapeamento pesquisa. Sempre que o campo de evento tiver esse valor, a regra de mapeamento adicionará o valor listado no campo Origem ao campo listado no campo Destino. Este campo é exibido quando o Tipo de mapeamento é Campo de mapa e valor de transformação (Campo único). Selecione + para adicionar mais campos de chave, conforme necessário.

Caso de uso típico: para mapear o campo "event_severity" no campo de informações adicionais com valores possíveis [como AVISO, BAIXO, CRÍTICO, CLEAR, MAJOR] para o campo de severidade, configure o seguinte:

Campo de origem: "event_severity"
Campo de destino: "severidade"
Transformar pares de valores:
- Do valor: "AVISO", ao valor: "4"
- Do valor: 'MINOR', para o valor: '3'
- e assim por diante...

Se você selecionou Criar ou atualizar campo e definir valor constante (Constante), preencha os campos conforme apropriado.

Tabela 4. Criar ou atualizar campo e definir campos de valor constante (Constante)
Campo	Descrição
Campo de destino	O campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta. Caso de uso típico: defina a severidade do alerta como 1 para todos os eventos que correspondam ao filtro.
Valor	Valor que você deseja usar para o campo Para. Este campo é exibido quando o Tipo de mapeamento é Constante.

Caso de uso típico: defina a severidade do alerta como 1 para todos os eventos que correspondam ao filtro.

Se você selecionou Mapear campo (Copiar campo), preencha os campos conforme apropriado.

Tabela 5. Mapear campos (Copiar campo)
Campo	Descrição
Campo de origem	Valor docampo de origem a ser copiado para o campo de destino. O campo Origem pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. O campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. Também é possível fazer referência com pontos a um registro relacionado. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. para recuperar um valor da tabela de marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription anotações. Aviso: o uso do recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Caso de uso típico: para copiar o campo IP do campo de informações adicionais do evento para o nó do campo de alerta,, use o seguinte:

"Campo de origem": ip
"Campo de destino": nó

Se você selecionou Mapear campo e transformar valor usando regex, preencha os campos conforme apropriado.

Tabela 6. Campo de mapa e valor de transformação usando regex
Campo	Descrição
Campo de origem	Valor do campo de origem a ser copiado para o campo de destino. O campo Origem pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. O campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. Também é possível fazer referência com pontos a um registro relacionado. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. para recuperar um valor da tabela de marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription anotações. Aviso: o uso do recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Caso de uso típico: para mapear a severidade da cor do campo Informações adicionais para o campo Severidade, use:

Campo de origem: "color"
Campo de destino: "severidade"
Transformar pares de valores:
- Do valor: '.*red', Para o valor: '1'. Isso cobre "vermelho escuro", "vermelho claro" e outros valores que contêm "vermelho" e os mapeia para "1".
- e assim por diante...

Tabela 7. Campos de chave (seção Transformar pares de valores)
Campo	Descrição
Chave	Valor que a regra de mapeamento pesquisa. Sempre que o campo de evento tiver esse valor, a regra de mapeamento adicionará o valor listado no campo Origem ao campo listado no campo Destino. Este campo é exibido quando o Tipo de mapeamento é Campo de mapa e valor de transformação (Campo único). Selecione + para adicionar mais campos de chave, conforme necessário.

Se você selecionou Mapear campo usando regex, preencha os campos conforme apropriado.

Tabela 8. Mapear campo usando campos regex
Campo	Descrição
Campo de origem	Valor do campo de origem definido genericamente a ser copiado para o campo de destino. O campo Origem deve ser um campo de informações adicionais do evento. Com este tipo, você pode encontrar genericamente o nome do campo Origem usando uma expressão regular (regex).
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. O campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.

Caso de uso típico: para mapear o campo "region" do campo additional_info que aparece como "tags.region" ou "tags|region" ou "cloud.region" para um marcador de alerta t_region, use:

"Campo de origem": *region
"Campo de destino": t_region

Se você selecionou Mapear campo e copiar valor do grupo de regex, preencha os campos, conforme apropriado.

Tabela 9. Mapear campo e copiar valor de campos de grupo de regex
Campo	Descrição
Campo de origem	Valor do campo de origem definido genericamente a ser copiado para o campo de destino. O campo Origem deve ser um campo de informações adicionais do evento. Com este tipo, você pode encontrar genericamente o nome do campo Origem usando uma expressão regular (regex).
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. O campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. para recuperar um campo do registro de IC. Por exemplo, use "alert_cmdb_ci.assignment_group" para preencher (e transformar) um campo de alerta "assignment_group" com o valor do grupo de atribuição do IC. Também é possível fazer referência com pontos a um registro relacionado. Por exemplo, use alert_cmdb_ci.asset.model alert_cmdb_ci_key. para recuperar um valor da tabela de marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription anotações. Aviso: o uso do recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.
Expressão do grupo Regex	._._(.)_.

Caso de uso típico: para extrair o terceiro octeto do IP e salvá-lo no campo de informações adicionais third_octet, use:

"Campo de origem": ip
"Campo de destino": third_octet
"Expressão de grupo Regex": .*_.*_(.*)_.*

Se você selecionou Mapeamento avançado usando script, preencha os campos conforme apropriado.

Tabela 10. Mapeamento avançado usando campos de script
Campo	Descrição
Script	O editor de código oferece suporte ao editor de texto para scripts em linha. O editor de código tem estes recursos para os serviços de idioma compatíveis e os scripts embutidos: coloração de sintaxe, recuo, números de linha e criação automática de chaves e aspas de fechamento, sugestões automáticas e preenchimentos automáticos. Dicas de edição: Para inserir um espaço fixo em qualquer lugar do seu código, pressione a tecla Tab. Para recuar uma única linha de código, selecione no espaço em branco à esquerda da linha e pressione Tab. Para recuar uma ou mais linhas de código, selecione o código e pressione Tab. Para diminuir o recuo, pressione Shift + Tab. Para remover uma guia do início de uma linha de código, selecione na linha e pressione Shift + Tab. Para declarar variáveis, use a palavra-chave var para que elas permaneçam dentro do escopo JavaScript apropriado.
Executar após a vinculação	Quando a caixa de seleção "Executar após vinculação" está marcada, a regra é executada após a fase de vinculação do IC e usa o script dedicado que também tem o sys_id do IC nos parâmetros de entrada. Aviso: scripts complexos podem afetar o desempenho do processamento de eventos.

Se você selecionou Mapear campo da tabela de referência, preencha os campos conforme apropriado.

Tabela 11. Mapear campo dos campos da tabela de referência
Campo	Descrição
Tabela de referência	A tabela de referência. Selecione a tabela da qual o campo será mapeado para o campo Destino no evento.
Campo a ser correspondido	O campo da tabela Referência a ser correspondido com o campo de alerta correspondente do evento. É usado para filtrar os registros da tabela de referência.
Campo de origem	Valor docampo de origem a ser copiado para o campo de destino. O campo Origem é o campo da tabela que foi selecionada como a tabela de Referência.
Campo de alerta correspondente	Campo de evento para encontrar registros da tabela de referência correspondentes. O campo de alerta correspondente é correspondido com o campo de correspondência. O campo de alerta correspondente pode ser o campo Evento, o campo Informações adicionais ou o marcador Alerta.
Campo de destino	Campo de evento em que a regra de mapeamento insere ou atualiza o valor. O campo de destino pode ser um campo de evento, campo de informações adicionais ou marcador de alerta.
Executar após a vinculação	Quando marcado, ativa o mapeamento de campo de evento após a vinculação de IC. Use o prefixo relevante para recuperar valores do registro de IC: alert_cmdb_ci. No campo de alerta correspondente, para recuperar um valor de um campo de um registro de IC. Por exemplo: "alert_cmdb_ci.ip_address" recupera informações de endereço IP de ICs vinculados. Quando o campo de alerta correspondente e o campo para corresponder aos campos são campos de referência, é necessário fazer a referência com pontos para sys_id no campo de alerta correspondente. Por exemplo, para usar o valor "assignment_group" de ICs vinculados para corresponder ao Campo de correspondência, use a seguinte expressão no campo de alerta correspondente: alert_cmdb_ci.assignment_group.sys_id alert_cmdb_ci_key. para recuperar um valor da tabela de marcadores do CMDB. Por exemplo, alert_cmdb_ci_key.subscription anotações. Aviso: o uso do recurso "Executar após vinculação" pode afetar o desempenho do processamento de eventos.

Caso de uso típico: extrair "short_description" dos registros "pc_vendor_cat_item" que correspondem ao campo "name" com o campo "cat_item_name" no campo "Informações adicionais" do evento e mapeá-lo para o campo "description" no evento nos seguintes campos :

"Tabela de referência": pc_vendor_cat_item
"Campo a ser correspondido": nome
"Campo de origem": short_description
"Campo de alerta correspondente": cat_item_name
"Campo de destino": descrição

Clique com o botão direito no cabeçalho do formulário e selecione Salvar.
Selecione Enviar.

Exemplo

Os valores a seguir compreendem uma regra predefinida que é aplicada a eventos na classe Interceptação da empresa 9. Se os eventos contiverem o elemento snmpTrapOID com um valor de iso.org.dod.internet.private.enterprises.cisco.0.0, a regra de mapeamento mudará o valor para recarregar nos alertas. Se os eventos contiverem o elemento snmpTrapOID, um valor de iso.org.dod.internet.private.enterprises.cisco.0.1, a regra de mapeamento mudará o valor para tcpConnectionClose nos alertas.

Campo	Valores
Nome	cisco.snmpTrapOID
Fonte	Interceptação da empresa 9
Tipo de mapeamento	Campo de mapa e valor de transformação (Campo único).
Campo de origem	snmpTrapOID
Campo de destino	snmpTrapOID
Transformar pares de valores	Par 1 Chave: iso.org.dod.internet.private.enterprises.cisco.0.0 Valor: recarregar Par 2 Chave: iso.org.dod.internet.private.enterprises.cisco.0.1 Valor: tcpConnectionClose

O que Fazer Depois

Teste um mapeamento de campo de evento enviando um evento que inclua um campo que está presente no mapeamento de campo de evento.