Extraindo e compondo campos de alerta

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Extrair e compor são maneiras de gerenciar o que você vê na saída de alerta, facilitando a filtragem, o agrupamento e a leitura. A automação de alertas permite extrair valores do campo de alerta da carga do evento e colocá-lo em um campo de saída de alerta. A composição permite mesclar vários campos de alerta em um único campo de saída.

    Extraindo campos de alerta

    As notificações de alerta geralmente contêm contexto relevante enterrado nas cargas úteis do evento. Enriquecendo as saídas de alerta com valores da carga existente, você pode entender melhor a importância dos alertas e determinar as etapas apropriadas para resolução. Por exemplo, um nome de host normalmente inclui informações cruciais, como serviço, nó, cluster, datacenter e domínio. Para adicionar automaticamente o valor de um marcador de cluster com base nos dados de host de entrada, você pode extrair apenas os dados do cluster.

    Ao extrair campos de alerta, use expressões regulares (regex) para criar fórmulas de valor. O regex permite identificar e capturar com precisão as partes relevantes da carga útil, permitindo a criação de notificações de alerta significativas e acionáveis.
    Nota:
    Você pode compor texto usando convenções de formato de expressão regular (regex). Use um ou mais grupos de captura com parênteses para extrair partes da entrada. Os grupos de captura na expressão regular são atribuídos a saídas de alerta com base na ordem em que aparecem. O regex deve corresponder à entrada inteira, portanto, considere cercar seu regex com .* em cada extremidade Por exemplo, .acme.com.* captura o nome do host em um nome de domínio totalmente qualificado. O analisador do mecanismo regex é compatível com expressões regulares compatíveis com Perl (PCRE).
    Figura 1. Extrair campos de alerta
    Extrair campos de alerta
    Se você usar vários grupos de captura com parênteses, cada valor extraído aparecerá em um campo de saída separado.
    Figura 2. Extrair campo para várias saídas de alerta
    Extrair campo para várias saídas de alerta
    Visualize a saída de alerta em eventos de exemplo para verificar se os valores foram extraídos conforme esperado selecionando Visualize vários eventos .
    Nota:
    Esta opção está disponível somente quando eventos de origem de exemplo estão disponíveis e correspondem ao filtro regex.

    Exemplo: Extraindo campos de alerta

    Suponha que você precise extrair apenas seis letras de um campo específico de um evento e exibi-las em um novo campo de alerta chamado mynewfield . Você também deseja marcar este novo campo de alerta para uso posterior no agrupamento de alertas. Veja como você pode conseguir isso:
    • Campo de entrada de origem : Selecione o campo de evento do qual você deseja extrair dados. Nesse caso, o campo é Nome da métrica .
    • Expressão regular : Use uma expressão regular para extrair a peça específica necessária do valor do campo selecionado. Por exemplo, se o Nome da métrica O valor do campo contém "Espaço de troca livre em %" e você deseja extrair "Troca livre", sua expressão regular deve ser (......... ).*.
    • Saída de alerta :
      • Escolha um campo de alerta existente, um marcador de alerta existente ou insira manualmente um novo nome de campo. Neste caso, vamos inserir um novo nome de campo mynewfield .
      • Definido mynewfield como um marcador para uso posterior no agrupamento baseado em marcador. Observe o marcador exibido antes do nome do campo.

      Depois de aplicar a expressão regular ao valor do campo selecionado (neste caso, o. Nome da métrica valor do campo), verifique a palavra extraída exibida abaixo de Saída de alerta campo. Por exemplo, ele deve mostrar "Troca livre" se a expressão regular corresponder corretamente.

    • Visualize vários eventos Visualizar vários eventos permite que você verifique se a expressão regular extrai dados com precisão de um intervalo de eventos de exemplo. Isso ajuda a determinar se algum ajuste na expressão regular é necessário.

    Compondo campos de alerta

    Ao criar uma saída de alerta, você pode selecionar ou inserir manualmente campos, marcadores ou texto livre para incluir. Esses dados podem ser facilmente lidos, filtrados e agrupados para melhor gestão e compreensão dos alertas.

    Figura 3. Compor campos de alerta
    Compor campos de alerta

    Exemplo: Compondo campos de alerta

    Suponha que você queira ter dois campos de entrada que componham dados e os exibam em dois campos de saída de alerta diferentes. Em um cenário, você deseja que o valor de origem venha de um campo de alerta existente junto com um novo campo, mostrando o valor composto em um novo campo de saída de alerta. Você também planeja marcar o novo campo de saída de alerta para uso posterior no agrupamento baseado em marcador. No outro cenário, você combina campos existentes com texto livre e seleciona a saída de alerta a ser exibida em um campo de alerta existente. Veja como você pode conseguir isso:
    • Cenário 1:
      1. Campo de entrada de origem : Selecione um campo de alerta existente e adicione o texto "E", seguido pela inserção de outro campo u_eventid . Por exemplo:

        Observe que os campos de alerta são exibidos no (campo) formato de sintaxe. Você também pode selecionar o nome do campo na lista suspensa e a sintaxe será adicionada automaticamente.

      2. Saída de alerta : Insira o nome do novo campo de alerta no qual você deseja exibir os valores dos campos de entrada. Por exemplo, vamos nomeá-lo mynewfield .

        Definido mynewfield como um marcador para uso posterior no agrupamento baseado em marcador. Observe o marcador exibido antes do nome do campo.

    • Cenário 2:
      1. Campo de entrada de origem : Selecione os campos de alerta existentes e inclua qualquer texto livre desejado sobre como você deseja que eles apareçam no campo de saída de alerta. Por exemplo: Tipo de problema:

        Os campos de alerta são exibidos em (campo) formato de sintaxe. Você também pode selecionar o nome do campo na caixa suspensa e a sintaxe será adicionada automaticamente.

      2. Saída de alerta : Selecione um campo de alerta existente no qual você deseja exibir os valores dos campos de entrada. Por exemplo, selecione Descrição .