Warnungsfelder werden extrahiert und verfasst

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Extrahieren und Verfassen sind Möglichkeiten, um zu verwalten, was in der Warnungsausgabe angezeigt wird, wodurch das Filtern, Gruppieren und Lesen einfacher wird. Mit der Warnungsautomatisierung können Sie Werte aus dem Warnungsfeld der Ereignisnutzlast extrahieren und in einem Warnungsausgabefeld platzieren. Durch das Verfassen können Sie mehrere Warnungsfelder in einem einzelnen Ausgabefeld zusammenführen.

    Warnungsfelder werden extrahiert

    Warnungsbenachrichtigungen enthalten häufig relevanten Kontext, der in Ereignisnutzlasten verborgen ist. Indem Sie Warnungsausgaben mit Werten aus der vorhandenen Nutzlast ergänzen, können Sie die Bedeutung von Warnungen besser verstehen und die entsprechenden Schritte für die Lösung bestimmen. Beispielsweise enthält ein Hostname normalerweise wichtige Informationen wie Service, Knoten, Cluster, Rechenzentrum und Domäne. Um den Wert für ein Cluster-Tag basierend auf eingehenden Hostdaten automatisch hinzuzufügen, können Sie nur die Clusterdaten extrahieren.

    Verwenden Sie beim Extrahieren von Warnungsfeldern reguläre Ausdrücke (regulärer Ausdruck), um Wertformeln zu erstellen. Mit dem regulären Ausdruck können Sie die relevanten Teile der Nutzlast genau identifizieren und erfassen, wodurch aussagekräftige und umsetzbare Warnungsbenachrichtigungen erstellt werden können.
    Hinweis:
    Sie können Text mit Formatkonventionen für reguläre Ausdrücke (regulärer Ausdruck) verfassen. Verwenden Sie eine oder mehrere Erfassungsgruppen mit Klammern, um Teile der Eingabe zu extrahieren. Erfassungsgruppen im regulären Ausdruck werden Warnungsausgaben basierend auf der Reihenfolge zugewiesen, in der sie angezeigt werden. Der reguläre Ausdruck muss mit der gesamten Eingabe übereinstimmen. Berücksichtigen Sie daher, Ihren regulären Ausdruck mit zu umgeben .* An jedem Ende Beispiel: (\W+).acme.com.* Erfasst den Hostnamen in einem vollqualifizierten Domänennamen. Der Parser für die Engine für reguläre Ausdrücke ist mit Perl-kompatiblen regulären Ausdrücken (PCRE) kompatibel.
    Abbildung : 1. Warnungsfelder extrahieren
    Warnungsfelder extrahieren
    Wenn Sie mehrere Erfassungsgruppen mit Klammern verwenden, wird jeder extrahierte Wert in einem separaten Ausgabefeld angezeigt.
    Abbildung : 2. Extrahieren Sie das Feld für mehrere Warnungsausgaben
    Extrahieren Sie das Feld für mehrere Warnungsausgaben
    Zeigen Sie eine Vorschau der Warnungsausgabe für Beispielereignisse an, um sicherzustellen, dass die Werte wie erwartet extrahiert werden, indem Sie auswählen Vorschau mehrerer Ereignisse anzeigen .
    Hinweis:
    Diese Option ist nur verfügbar, wenn Beispielquellenereignisse verfügbar sind und mit dem Filter für reguläre Ausdrücke abgeglichen werden.

    Beispiel: Warnungsfelder werden extrahiert

    Angenommen, Sie müssen nur sechs Buchstaben aus einem bestimmten Feld eines Ereignisses extrahieren und in einem neuen Warnungsfeld mit dem Namen anzeigen Mynewfield . Sie möchten dieses neue Warnungsfeld auch zur späteren Verwendung in der Warnungsgruppierung kennzeichnen. So können Sie dies erreichen:
    • Quelleingabefeld : Wählen Sie das Ereignisfeld aus, aus dem Sie Daten extrahieren möchten. In diesem Fall lautet das Feld Metrikname .
    • Regulärer Ausdruck : Verwenden Sie einen regulären Ausdruck, um das bestimmte benötigte Teil aus dem Wert des ausgewählten Felds zu extrahieren. Beispiel: Wenn Metrikname Feldwert enthält „Freier Swap-Platz in %“, und Sie möchten „Freier Swap“ extrahieren. Ihr regulärer Ausdruck muss (......... ).*.
    • Warnungsausgabe :
      • Wählen Sie ein vorhandenes Warnungsfeld oder ein vorhandenes Warnungs-Tag aus, oder geben Sie manuell einen neuen Feldnamen ein. In diesem Fall geben wir einen neuen Feldnamen ein Mynewfield .
      • Festlegen Mynewfield Als Tag zur späteren Verwendung in der Tag-basierten Gruppierung. Beachten Sie das Tag, das vor dem Feldnamen angezeigt wird.

      Nachdem der reguläre Ausdruck auf den Wert des ausgewählten Felds angewendet wurde (in diesem Fall die Metrikname Feldwert), überprüfen Sie das extrahierte Wort, das unter angezeigt wird Warnungsausgabe Feld. Beispielsweise sollte „Free Swap“ angezeigt werden, wenn der reguläre Ausdruck korrekt übereinstimmt.

    • Vorschau mehrerer Ereignisse anzeigen : Durch die Vorschau mehrerer Ereignisse können Sie überprüfen, ob der reguläre Ausdruck Daten aus einer Reihe von Beispielereignissen genau extrahiert. Dies hilft bei der Bestimmung, ob Anpassungen am regulären Ausdruck erforderlich sind.

    Warnungsfelder werden erstellt

    Beim Erstellen einer Warnungsausgabe können Sie Felder, Tags oder Freitext auswählen oder manuell eingeben, die eingeschlossen werden sollen. Diese Daten können leicht gelesen, gefiltert und gruppiert werden, um die Verwaltung und das Verständnis der Warnungen zu verbessern.

    Abbildung : 3. Warnungsfelder verfassen
    Warnungsfelder verfassen

    Beispiel: Warnungsfelder werden verfasst

    Angenommen, Sie möchten zwei Eingabefelder haben, die Daten verfassen und in zwei verschiedenen Warnungsausgabefeldern anzeigen. In einem Szenario soll der Quellwert aus einem vorhandenen Warnungsfeld zusammen mit einem neuen Feld stammen, das den zusammengesetzten Wert in einem neuen Warnungsausgabefeld anzeigt. Sie planen auch, das neue Warnungsausgabefeld zur späteren Verwendung in der Tag-basierten Gruppierung zu kennzeichnen. Im anderen Szenario kombinieren Sie vorhandene Felder mit Freitext, und wählen Sie die Warnungsausgabe aus, die in einem vorhandenen Warnungsfeld angezeigt werden soll. So können Sie dies erreichen:
    • Szenario 1:
      1. Quelleingabefeld : Wählen Sie ein vorhandenes Warnungsfeld aus, und fügen Sie den Text „und“ hinzu, und geben Sie dann ein anderes Feld ein u_eventid . Beispiel: ${classification} und ${u_eventid}.

        Beachten Sie, dass Warnungsfelder in angezeigt werden ${field} Syntaxformat. Sie können auch den Feldnamen aus der Dropdown-Liste auswählen, und die Syntax wird automatisch hinzugefügt.

      2. Warnungsausgabe : Geben Sie den Namen des neuen Warnungsfelds ein, in dem Sie die Werte aus den Eingabefeldern anzeigen möchten. Nennen wir es beispielsweise Mynewfield .

        Festlegen Mynewfield Als Tag zur späteren Verwendung in der Tag-basierten Gruppierung. Beachten Sie das Tag, das vor dem Feldnamen angezeigt wird.

    • Szenario 2:
      1. Quelleingabefeld : Wählen Sie vorhandene Warnungsfelder aus, und fügen Sie den gewünschten Freitext ein, damit sie im Warnungsausgabefeld angezeigt werden sollen. Beispiel: Problemtyp: ${type} mit Schweregrad ${severity}.

        Warnungsfelder werden in angezeigt ${field} Syntaxformat. Sie können auch den Feldnamen aus dem Dropdown-Feld auswählen, und die Syntax wird automatisch hinzugefügt.

      2. Warnungsausgabe : Wählen Sie ein vorhandenes Warnungsfeld aus, in dem Sie die Werte aus den Eingabefeldern anzeigen möchten. Wählen Sie beispielsweise aus Beschreibung .