Extração e composição de campos de alerta

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

4 min. de leitura

Extrair e compor são maneiras de gerenciar o que você vê na saída do alerta, simplificando a filtragem, o agrupamento e a leitura. A automação de alerta permite extrair valores do campo de alerta da carga do evento e colocá-los em um campo de saída de alerta. A composição permite mesclar vários campos de alerta em um único campo de saída.

Extraindo campos de alerta

As notificações de alerta geralmente contêm contexto relevante oculto nas cargas do evento. Ao aprimorar as saídas de alerta com valores da carga existente, você pode entender melhor a importância dos alertas e determinar as etapas apropriadas para a resolução. Por exemplo, um nome de host normalmente inclui informações cruciais, como serviço, nó, cluster, datacenter e domínio. Para adicionar automaticamente o valor de um marcador de cluster com base nos dados do host de entrada, você pode extrair apenas os dados do cluster.

Ao extrair campos de alerta, use expressões regulares (regex) para criar fórmulas de valor. O Regex permite que você identifique e capture com precisão as partes relevantes da carga útil, permitindo a criação de notificações de alerta significativas e acionáveis.

Nota:

Você pode compor texto usando convenções de formato de expressão regular (regex). Use um ou mais grupos de captura com parênteses para extrair partes da entrada. Grupos de captura na expressão regular são atribuídos a saídas de alerta com base na ordem em que aparecem. O regex deve corresponder à entrada inteira, portanto, considere cercar o regex com .* em cada extremidade. Por exemplo, (\w+).acme.com.* captura o nome do host em um nome de domínio totalmente qualificado. O analisador do mecanismo regex é compatível com Expressões Regulares Compatíveis com Perl (PCRE).

Se você usar vários grupos de captura com parênteses, cada valor extraído aparecerá em um campo de saída separado.

Figura 2. Extrair campo para várias saídas de alerta

Visualize a saída do alerta em eventos de exemplo para verificar se os valores foram extraídos conforme o esperado selecionando Visualizar vários eventos.

Nota:

Esta opção está disponível somente quando eventos de origem de exemplo estão disponíveis e correspondem ao filtro regex.

Exemplo: extração de campos de alerta

Suponha que você precise extrair apenas seis letras de um campo específico de um evento e exibi-las em um novo campo de alerta chamado mynewfield. Você também deseja marcar este novo campo de alerta para uso posterior no agrupamento de alertas. Veja como você pode fazer isso:

Campo de entrada de origem: selecione o campo de evento do qual você deseja extrair dados. Nesse caso, o campo é Recurso.
Expressão regular: use uma expressão regular para extrair a parte específica necessária do valor do campo selecionado. Por exemplo, se o valor do campo Recurso contiver "Integração ao Zabbix" e você quiser extrair "Zabbix", sua expressão regular deverá ser (…...).*.
Saída de alerta:
- Escolha um campo de alerta existente, um marcador de alerta existente ou insira manualmente um novo nome de campo. Nesse caso, vamos inserir um novo nome de campo mynewfield.
- Defina mynewfield como um marcador para uso posterior no agrupamento baseado em marcador. Observe o marcador exibido antes do nome do campo.
Depois de aplicar a expressão regular ao valor do campo selecionado (neste caso, o valor do campo Recurso ), verifique a palavra extraída exibida abaixo do campo de saída Alerta. Por exemplo, ele deve mostrar "Zabbix" se a expressão regular corresponder corretamente.
Visualizar vários eventos: a visualização de vários eventos permite verificar se a expressão regular extrai dados com precisão de um intervalo de eventos de exemplo. Isso ajuda a determinar se algum ajuste na expressão regular é necessário.

Campos de alerta de composição

Ao criar uma saída de alerta, você pode selecionar ou inserir manualmente campos, marcadores ou texto livre a serem incluídos. Esses dados podem ser facilmente lidos, filtrados e agrupados para melhor gerenciamento e compreensão dos alertas.

Exemplo: composição de campos de alerta

Suponha que você queira ter dois campos de entrada que compõem os dados e os exibem em dois campos de saída de alerta diferentes. Em um cenário, você deseja que o valor de origem venha de um campo de alerta existente junto com um novo campo, mostrando o valor composto em um novo campo de saída de alerta. Você também planeja marcar o novo campo de saída de alerta para uso posterior no agrupamento baseado em marcador. No outro cenário, você combina os campos existentes com texto livre e seleciona a saída do alerta a ser exibida em um campo de alerta existente. Veja como você pode fazer isso:

Cenário 1:
1. Campo de entrada de origem: selecione um campo de alerta existente e adicione o texto "e", seguido pela inserção de um novo nome de campo, como NewTest. Por exemplo: ${classification} e ${NewTest}.
  Observe que os campos de alerta são exibidos no formato de sintaxe $ {field}. Você também pode selecionar o nome do campo na lista suspensa e a sintaxe será adicionada automaticamente.
2. Saída do alerta: insira o nome do novo campo de alerta em que você deseja exibir os valores dos campos de entrada. Por exemplo, vamos chamá-lo de mynewfield.
  Defina mynewfield como um marcador para uso posterior no agrupamento baseado em marcador. Observe o marcador exibido antes do nome do campo.
Cenário 2:
1. Campo de entrada de origem: selecione os campos de alerta existentes e inclua o texto livre desejado sobre como você deseja que eles apareçam no campo de saída do alerta. Por exemplo: ${ci_type} e ${node} com estado ${resolution_state}.
  Os campos de alerta são exibidos no formato de sintaxe ${field}. Você também pode selecionar o nome do campo na caixa suspensa e a sintaxe será adicionada automaticamente.
2. Saída de alerta: selecione um campo de alerta existente em que você deseja exibir os valores dos campos de entrada. Por exemplo, selecione Descrição.