Warnungsfelder werden extrahiert und erstellt

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Durch Extrahieren und Verfassen können Sie verwalten, was in der Warnungsausgabe angezeigt wird, wodurch das Filtern, Gruppieren und Lesen erleichtert wird. Mit der Warnungsautomatisierung können Sie Werte aus dem Warnungsfeld der Ereignisnutzlast extrahieren und in einem Warnungsausgabefeld platzieren. Beim Verfassen können Sie mehrere Warnungsfelder in einem einzigen Ausgabefeld zusammenführen.

    Warnungsfelder werden extrahiert

    Warnungsbenachrichtigungen enthalten häufig relevante Kontexte, die in Ereignis-Payloads eingebettet sind. Durch Anreichern von Warnungsausgaben mit Werten aus der vorhandenen Nutzlast können Sie die Bedeutung von Warnungen besser verstehen und die geeigneten Lösungsschritte bestimmen. Beispielsweise enthält ein Hostname in der Regel wichtige Informationen wie Service, Knoten, Cluster, Rechenzentrum und Domäne. Um den Wert für ein Cluster-Tag basierend auf eingehenden Hostdaten automatisch hinzuzufügen, können Sie nur die Clusterdaten extrahieren.

    Verwenden Sie beim Extrahieren von Warnungsfeldern reguläre Ausdrücke (reguläre Ausdrücke), um Wertformeln zu erstellen. Mit regulären Ausdrücken können Sie die relevanten Teile der Nutzlast genau identifizieren und erfassen, wodurch aussagekräftige und umsetzbare Warnungsbenachrichtigungen erstellt werden.
    Hinweis:
    Sie können Text unter Verwendung der Formatkonventionen für reguläre Ausdrücke (reguläre Ausdrücke) verfassen. Verwenden Sie eine oder mehrere Erfassungsgruppen mit Klammern, um Teile der Eingabe zu extrahieren. Erfassungsgruppen im regulären Ausdruck werden Warnungsausgaben basierend auf der Reihenfolge zugewiesen, in der sie angezeigt werden. Der reguläre Ausdruck muss mit der gesamten Eingabe übereinstimmen. Erwägen Sie daher, Ihren regulären Ausdruck an beiden Enden mit .* zu versehen. Beispiel: (\w+).acme.com.* erfasst den Hostnamen in einem vollqualifizierten Domänennamen. Der Parser für die Regex-Engine ist mit Perl-kompatiblen regulären Ausdrücken (PCRE) kompatibel.
    Abbildung : 1. Warnungsfelder extrahieren
    Warnungsfelder extrahieren
    Wenn Sie mehrere Erfassungsgruppen mit Klammern verwenden, wird jeder extrahierte Wert in einem separaten Ausgabefeld angezeigt.
    Abbildung : 2. Extrahieren Sie das Feld für mehrere Warnungsausgaben
    Extrahieren Sie das Feld für mehrere Warnungsausgaben
    Zeigen Sie eine Vorschau der Warnungsausgabe für Beispielereignisse an, um sicherzustellen, dass die Werte wie erwartet extrahiert werden, indem Sie Vorschau mehrerer Ereignisseauswählen.
    Hinweis:
    Diese Option ist nur verfügbar, wenn Beispielquellereignisse verfügbar sind und mit dem regulären Ausdrucksfilter übereinstimmen.

    Beispiel: Warnungsfelder werden extrahiert

    Angenommen, Sie müssen nur sechs Buchstaben aus einem bestimmten Feld eines Ereignisses extrahieren und in einem neuen Warnungsfeld namens mynewfieldanzeigen. Sie sollten dieses neue Warnungsfeld auch für die spätere Verwendung bei der Warnungsgruppierung mit Tags versehen. So können Sie dies erreichen:
    • Quelleingabefeld: Wählen Sie das Ereignisfeld aus, aus dem Sie Daten extrahieren möchten. In diesem Fall lautet das Feld Resource.
    • Regulärer Ausdruck: Verwenden Sie einen regulären Ausdruck, um den bestimmten Teil, den Sie benötigen, aus dem Wert des ausgewählten Felds zu extrahieren. Wenn beispielsweise der Wert des Ressourcenfelds „Zabbix-Integration“ enthält und Sie „Zabbix“ extrahieren möchten, muss Ihr regulärer Ausdruck (…...).* lauten.
    • Warnungsausgabe:
      • Wählen Sie ein vorhandenes Warnungsfeld, ein vorhandenes Warnungs-Tag, oder geben Sie manuell einen neuen Feldnamen ein. In diesem Fall geben wir einen neuen Feldnamen mynewfieldein.
      • Legen Sie „mynewfield“ als Tag für die spätere Verwendung in der Tag-basierten Gruppierung fest. Beachten Sie das Tag, das vor dem Feldnamen angezeigt wird.

      Nachdem Sie den regulären Ausdruck auf den Wert des ausgewählten Felds (in diesem Fall den Wert des Felds Ressource ) angewendet haben, überprüfen Sie das extrahierte Wort, das unter dem Feld Warnungsausgabe angezeigt wird. Beispielsweise sollte „Zabbix“ angezeigt werden, wenn der reguläre Ausdruck richtig übereinstimmt.

    • Mehrere Ereignisse in der Vorschau anzeigen: Durch die Vorschau mehrerer Ereignisse können Sie überprüfen, ob der reguläre Ausdruck Daten aus einer Reihe von Beispielereignissen extrahiert. Dies hilft festzustellen, ob Anpassungen des regulären Ausdrucks erforderlich sind.

    Warnungsfelder werden erstellt

    Beim Erstellen einer Warnungsausgabe können Sie Felder, Tags oder Freitext auswählen oder manuell eingeben, die einbezogen werden sollen. Diese Daten können leicht gelesen, gefiltert und gruppiert werden, um Warnungen besser verwalten und verstehen zu können.

    Abbildung : 3. Warnungsfelder zusammenstellen
    Warnungsfelder zusammenstellen

    Beispiel: Warnungsfelder werden erstellt

    Angenommen, Sie möchten zwei Eingabefelder haben, die Daten verfassen und in zwei verschiedenen Warnungsausgabefeldern anzeigen. In einem Szenario soll der Quellwert aus einem vorhandenen Warnungsfeld zusammen mit einem neuen Feld stammen, das den zusammengesetzten Wert in einem neuen Warnungsausgabefeld anzeigt. Sie planen auch, das neue Warnungsausgabefeld für die spätere Verwendung in der Tag-basierten Gruppierung mit Tags zu versehen. Im anderen Szenario kombinieren Sie vorhandene Felder mit Freitext und wählen die Warnungsausgabe aus, die in einem vorhandenen Warnungsfeld angezeigt werden soll. So können Sie dies erreichen:
    • Szenario 1:
      1. Quelleingabefeld: Wählen Sie ein vorhandenes Warnungsfeld aus, fügen Sie den Text „und“ hinzu, und geben Sie anschließend einen neuen Feldnamen ein, z. B. NewTest. Beispiel: ${classification} und ${NewTest}.

        Beachten Sie, dass Warnungsfelder im Syntaxformat ${field} angezeigt werden. Sie können den Feldnamen auch aus der Dropdown-Liste auswählen. Die Syntax wird dann automatisch hinzugefügt.

      2. Warnungsausgabe: Geben Sie den Namen des neuen Warnungsfelds ein, in dem Sie die Werte aus den Eingabefeldern anzeigen möchten. Nennen wir es beispielsweise mynewfield.

        Legen Sie „mynewfield“ als Tag für die spätere Verwendung in der Tag-basierten Gruppierung fest. Beachten Sie das Tag, das vor dem Feldnamen angezeigt wird.

    • Szenario 2:
      1. Quelleingabefeld: Wählen Sie vorhandene Warnungsfelder aus, und fügen Sie einen beliebigen Freitext für die Darstellung im Warnungsausgabefeld hinzu. Beispiel: ${ci_type} und ${node} mit Status ${resolution_state}.

        Warnungsfelder werden im Syntaxformat ${field} angezeigt. Sie können den Feldnamen auch aus dem Dropdown-Feld auswählen. Die Syntax wird dann automatisch hinzugefügt.

      2. Warnungsausgabe: Wählen Sie ein vorhandenes Warnungsfeld aus, in dem Sie die Werte aus den Eingabefeldern anzeigen möchten. Wählen Sie beispielsweise Beschreibungaus.