Créer des mappages de champs d’événements

Gestion des opérations IT Australie

Release

australia

ft:locale

fr-FR

ft:publication_title

Gestion des opérations IT Australie

ft:clusterId

itom

bundleId

itom

workflow

Technology

Créer des mappages de champs d’événements

Rversion finale: Australia

Mis à jour 12 mars 2026

16 minutes de lecture

Utilisez les mappages de champs d’événements pour mapper les valeurs de champs d’événements spécifiques aux valeurs d’autres champs afin de fournir des informations plus complètes dans une alerte. Utilisez des intégrations basées sur l’équipe dans les règles d’événements pour vous assurer que la propriété et l’exécution des règles du connecteur donnent la priorité aux règles globales. Les équipes peuvent maintenir la cohérence et la hiérarchie tout en offrant flexibilité et options de personnalisation.

Avant de commencer

Rôle requis : evt_mgmt_admin

Pourquoi et quand exécuter cette tâche

Créez la règle pour faire correspondre l’événement à sa classe et à ses valeurs d’origine. Indiquez également les nouvelles valeurs pour remplacer les valeurs d’origine dans l’événement.

Procédure

Accédez à la Tous > Gestion des événements > Règles > Mappage de champs d'événements.

Sélectionnez Nouveau ou ouvrez une règle existante pour modifier et remplir les champs.

Figure 1. Mappage de champs d’événements

Tableau 1. Formulaire Mappage de champs d’événements
Champ	Description
Nom	nom du mappage de champs d’événements.
Source	logiciel de surveillance d’événement qui a généré l’événement, tel que SolarWinds ou SCOM. Longueur maximale : 100 caractères.
Ordre	Numéro pour définir l’ordre dans lequel cette action doit être traitée. Les actions avec les numéros les plus faibles sont traitées en premier.
Groupe d'affectation	Pour les intégrations basées sur l’équipe, sélectionnez un groupe d’affectation. Si aucun groupe d’affectation n’est défini dans la règle de mappage de champ d’événement, cette règle est considérée comme globale. Lorsque les règles sont en cours d’exécution, les règles globales s’exécutent d’abord, puis les règles qui appartiennent au groupe d’affectation auquel appartient l’instance source de l’événement.
Type de mappage	mécanisme de mappage utilisé pour modifier une valeur de champ d’événement. Mapper un champ et une valeur de transformation (champ unique) : Mappe la valeur du champ Source à la valeur correspondante dans la table Paires de valeurs de transformation [em_mapping_pair] et renseignele champ cible. Les champs Source et Cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte. Créer ou mettre à jour un champ et définir une valeur constante (constante) : Définit une valeur constante pour un champ cible. Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte. Mapper un champ (copier un champ) : Copie la valeur exacte d’un champ Source dans le champ Cible spécifié. Les champs Source et Cible peuvent être un champ d’évent, un champ d’informations supplémentaires ou des balises d’alerte. Mapper un champ et une valeur de transformation à l’aide de regex : mappe de manière générique la valeur du champ Source à la valeur correspondante dans la table Paires de valeurs de transformation et renseigne le champ Cible. Les champs Source et Cible peuvent être des champs d’événement, d’informations supplémentaires ou de balises d’alerte. Mapper un champ à l’aide de regex : Copie la valeur d’un champ source défini de manière générique vers le champ cible. Le champ Source doit être un champ du champ d’informations supplémentaires de l’événement. Le champ cible peut être le champ d’événement, d’informations supplémentaires ou de balise d’alerte. Avec ce type, vous pouvez rechercher de manière générique le nom du champ Source à l’aide d’une expression régulière (regex). Mapper un champ et copier une valeur depuis le groupe regex : Copie une partie de la valeur du champ Source dans le champ Cible. Les champs Source et Cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte. Définissez une regex pour spécifier la partie du champ Source qui doit être copiée. Mappage avancé utilisant un script : Implémentezvotre propre logique pour la transformation de valeurs d’événement à l’aide d’un script. Lorsque la case « Exécuter après la liaison » est cochée, la règle est exécutée après la phase de liaison du CI et utilise le script dédié qui a également la sys_id du CI dans les paramètres d’entrée. Avertissement : Les scripts complexes peuvent affecter les performances de traitement des événements. Mapper le champ à partir de la table de référence Utilisez ce type de règle pour extraire une valeur de champ Source de la table de référence sélectionnée en faisant correspondre la valeur Champ à faire correspondre àla valeur du champ d’alerte correspondante , puis en mappant la valeur du champ Source au champ Cible. Le champ d’alerte correspondant et le champ cible peuvent être des champs d’événement, des champs d’informations supplémentaires ou des balises d’alerte.
Filtre	Condition pour le mappage de champs d’événements. Sélectionnez Ajouter une condition de filtre ou Ajouter une clause « OU » pour configurer plusieurs conditions. Remarque : Le filtre est sensible à la casse.
Actif	active ou désactive le mappage de champ d’événement. Si possible, recherchez et appliquez une autre règle de mappage de champs d’événements.
Exécuter après la liaison	Lorsque cette option est sélectionnée, la règle est exécutée après la phase de liaison de CI. Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement CI : alert_cmdb_ci. pour récupérer un champ de l’enregistrement CI. Par exemple : utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement. Avertissement : l’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements. Remarque : Cette case à cocher s’affiche uniquement pour les types de mappage suivants : Mapper un champ et une valeur de transformation (champ unique), Mapper un champ (copier un champ), Mapper un champ et une valeur de transformation à l’aide de regex, Mapper un champ et copier une valeur à partir du groupe regex et Mapper un champ à partir de la table de référence.

Si vous avez sélectionné Champ de mappage et valeur de transformation (champ unique), renseignez les champs comme il convient.

Tableau 2. Mapper les champs et les champs de valeur de transformation (champ unique)
Champ	Description
Champ source	champ d’événement à mapper ; comprend tous les champs d’événement et d’informations supplémentaires. Remarque : pour les champs d’informations supplémentaires, utilisez : « additional_info.<nom de champ> ». Lorsque la case « Exécuter après la liaison » est cochée, vous pouvez utiliser les préfixes alert_cmdb_ci et alert_cmdb_ci_key pour recevoir des données relatives aux CI.
Champ cible	champ d’événement dans lequel la règle de mappage insère ou met à jour la valeur. Lorsque ce champ est identique au champ Source, la règle de mappage met à jour la valeur en mémoire du champ d’événement. Les balises d’alerte peuvent également être définies à l’aide du <t_> préfixe.
Exécuter après la liaison	Lorsque cette option est cochée, le mappage de champs d’événements après la liaison de CI est activé. Utilisez le préfixe suivant pour récupérer les valeurs de l’enregistrement CI : alert_cmdb_ci. pour récupérer un champ de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement. Avertissement : l’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.

Tableau 3. Champs clés (section Paires de valeurs de transformation)
Champ	Description
Clé	valeur recherchée par la règle de mappage. Chaque fois que le champ d’événement contient cette valeur, la règle de mappage ajoute la valeur indiquée dans le champ Source au champ Cible. Ce champ s’affiche lorsque le type de mappage est Mapper un champ et une valeur de transformation (champ unique). Sélectionnez + pour ajouter d’autres champs clés , selon vos besoins.

Cas d’utilisation typique : Pour mapper le champ « event_severity » dans le champ d’informations supplémentaires avec des valeurs possibles [telles que AVERTISSEMENT, MINEUR, CRITIQUE, EFFACER, MAJEUR] au champ de gravité, configurez les éléments suivants :

Champ source : « event_severity »
Champ cible : « gravité »
Paires de valeurs de transformation :
- Valeur d’origine : « WARNING » à valeur : « 4 »
- Valeur de départ : « MINOR » à valeur : « 3 »
- et ainsi de suite...

Si vous avez sélectionné Créer ou mettre à jour un champ et défini une valeur constante (constante), renseignez les champs comme il convient.

Tableau 4. Créer ou mettre à jour un champ et définir des champs de valeur constante (constante)
Champ	Description
Champ cible	Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte. Cas d’utilisation typique : définissez une gravité d’alerte sur 1 pour tous les événements qui correspondent au filtre.
Valeur	valeur que vous souhaitez utiliser pour le champ À. Ce champ s’affiche lorsque le type de mappage est Constant.

Cas d’utilisation typique : Définissez la gravité de l’alerte sur 1 pour tous les événements qui correspondent au filtre.

Si vous avez sélectionné Mapper un champ (Copier un champ), renseignez les champs comme il convient.

Tableau 5. Mapper les champs (copier le champ)
Champ	Description
Champ source	Valeur du champ source à copier dans le champ Cible. Le champ Source peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
Champ cible	Champ d’événement dans lequel la règle de mappage insère ou met à jour la valeur. Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
Exécuter après la liaison	Lorsque cette option est cochée, le mappage de champs d’événements après la liaison de CI est activé. Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement CI : alert_cmdb_ci. pour récupérer un champ de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement. Avertissement : l’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.

Cas d’utilisation typique : Pour copier le champ IP du champ d’informations supplémentaires sur l’événement vers le nœud du champ d’alerte, procédez comme suit :

'Champ source' : ip
« Champ cible » : nœud

Si vous avez sélectionné Mapper le champ et transformer la valeur à l’aide de regex, renseignez les champs comme il convient.

Tableau 6. Mapper un champ et transformer une valeur à l’aide de regex
Champ	Description
Champ source	Valeur du champ source à copier dans le champ Cible . Le champ Source peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
Champ cible	Champ d’événement dans lequel la règle de mappage insère ou met à jour la valeur. Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
Exécuter après la liaison	Lorsque cette option est cochée, le mappage de champs d’événements après la liaison de CI est activé. Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement CI : alert_cmdb_ci. pour récupérer un champ de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement. Avertissement : l’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.

Cas d’utilisation typique : Pour mapper la gravité de la couleur de champ dans le champ Informations supplémentaires au champ Gravité, utilisez :

Champ source : « color »
Champ cible : « gravité »
Paires de valeurs de transformation :
- Valeur de départ : « .*red », valeur d’arrivée : « 1 ». Cela couvre à la fois « rouge foncé », « rouge clair » et les autres valeurs contenant « rouge » et les mappe toutes à « 1 ».
- et ainsi de suite...

Tableau 7. Champs clés (section Paires de valeurs de transformation)
Champ	Description
Clé	valeur recherchée par la règle de mappage. Chaque fois que le champ d’événement contient cette valeur, la règle de mappage ajoute la valeur indiquée dans le champ Source au champ Cible. Ce champ s’affiche lorsque le type de mappage est Mapper un champ et une valeur de transformation (champ unique). Sélectionnez + pour ajouter d’autres champs clés , selon vos besoins.

Si vous avez sélectionné Mapper un champ à l’aide de regex, renseignez les champs comme il convient.

Tableau 8. Mapper un champ à l’aide de champs regex
Champ	Description
Champ source	Valeur du champ source définie de manière générique à copier dans le champ Cible . Le champ Source doit être un champ du champ d’informations supplémentaires de l’événement. Avec ce type, vous pouvez rechercher de manière générique le nom du champ Source à l’aide d’une expression régulière (regex).
Champ cible	Champ d’événement dans lequel la règle de mappage insère ou met à jour la valeur. Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.

Cas d’utilisation typique : Pour mapper le champ « région » à partir du champ additional_info qui apparaît sous la forme « tags.region », « tags|region » ou « cloud.region » à une balise t_regiond’alerte, utilisez :

'Champ source' : *région
« Champ cible » : t_region

Si vous avez sélectionné Mapper un champ et copier une valeur à partir du groupe regex, renseignez les champs, comme il convient.

Tableau 9. Mapper un champ et copier une valeur à partir des champs de groupe regex
Champ	Description
Champ source	Valeur du champ source définie de manière générique à copier dans le champ Cible . Le champ Source doit être un champ du champ d’informations supplémentaires de l’événement. Avec ce type, vous pouvez rechercher de manière générique le nom du champ Source à l’aide d’une expression régulière (regex).
Champ cible	Champ d’événement dans lequel la règle de mappage insère ou met à jour la valeur. Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
Exécuter après la liaison	Lorsque cette option est cochée, le mappage de champs d’événements après la liaison de CI est activé. Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement CI : alert_cmdb_ci. pour récupérer un champ de l’enregistrement CI. Par exemple, utilisez « alert_cmdb_ci.assignment_group » pour renseigner (et transformer) un champ « assignment_group » d’alerte avec la valeur du groupe d’affectation du CI. Il est également possible de remonter pas à pas vers un enregistrement connexe. Par exemple, utilisez alert_cmdb_ci.asset.model alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement. Avertissement : l’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.
Expression de groupe regex	._._(.)_.

Cas d’utilisation typique : Pour extraire le troisième octet de l’IP et l’enregistrer dans le champ d’informations third_octet supplémentaires, utilisez :

'Champ source' : ip
« Champ cible » : third_octet
'Expression de groupe regex' : .*_.*_(.*)_.*

Si vous avez sélectionné Mappage avancé à l’aide d’un script, renseignez les champs comme il convient.

Tableau 10. Mappage avancé utilisant des champs de script
Champ	Description
Script	L’éditeur de code prend en charge les scripts en ligne dans l’éditeur de texte. L’éditeur de code dispose des fonctionnalités suivantes pour les services linguistiques et les scripts Inline pris en charge : coloration de la syntaxe, indentation, numéros de ligne et création automatique d’accolades fermantes et de guillemets, suggestions automatiques et complétions automatiques. Conseils d’édition : Pour insérer un espace fixe n’importe où dans votre code, appuyez sur la touche Tab . Pour mettre en retrait une seule ligne de code, sélectionnez l’espace de début de la ligne, puis appuyez sur la touche de tabulation. Pour mettre en retrait une ou plusieurs lignes de code, sélectionnez le code, puis appuyez sur la touche de tabulation. Pour réduire l’indentation, appuyez sur Maj+Tab. Pour supprimer un onglet du début d’une ligne de code, sélectionnez dans la ligne et appuyez sur Maj+Tab. Pour déclarer des variables, utilisez le mot-clé var afin qu’elles restent dans le périmètre JavaScript approprié.
Exécuter après la liaison	Lorsque la case « Exécuter après la liaison » est cochée, la règle est exécutée après la phase de liaison du CI et utilise le script dédié qui a également la sys_id du CI dans les paramètres d’entrée. Avertissement : Les scripts complexes peuvent affecter les performances de traitement des événements.

Si vous avez sélectionné Mapper un champ dans la table de référence, renseignez les champs comme il convient.

Tableau 11. Mapper le champ à partir des champs de la table de référence
Champ	Description
Table de référence	Table de référence. Sélectionnez la table à partir de laquelle le champ doit être mappé au champ cible dans l’événement.
Champ à faire correspondre	Champ de la table de référence à mettre en correspondance avec le champ d’alerte correspondant de l’événement. Il est utilisé pour filtrer les enregistrements de la table de référence.
Champ source	Valeur du champ source à copier dans le champ Cible. Le champ Source est le champ de la table qui a été sélectionné comme table de référence.
Champ d’alerte correspondant	Champ d’événement pour trouver des enregistrements de table de référence correspondants. Le champ d’alerte correspondant est mis en correspondance avec le champ Champ à faire correspondre . Le champ d’alerte correspondant peut être le champ Événement, le champ Informations supplémentaires ou la balise d’alerte.
Champ cible	Champ d’événement dans lequel la règle de mappage insère ou met à jour la valeur. Le champ cible peut être un champ d’événement, un champ d’informations supplémentaires ou une balise d’alerte.
Exécuter après la liaison	Lorsque cette option est cochée, le mappage de champs d’événements après la liaison de CI est activé. Utilisez le préfixe approprié pour récupérer les valeurs de l’enregistrement CI : alert_cmdb_ci. Dans le champ Alerte correspondante, pour récupérer la valeur d’un champ à partir d’un enregistrement CI. Par exemple : « alert_cmdb_ci.ip_address » récupère les informations d’adresse IP des CI liés. Lorsque le champ d’alerte correspondant et le champ de correspondance sont des champs de référence, une remontée pas à pas vers sys_id dans le champ d’alerte correspondant est requise. Par exemple, pour utiliser la valeur « assignment_group » des CI liés à mettre en correspondance avec le champ Champ à mettre en correspondance , utilisez l’expression suivante dans le champ d’alerte Correspondance : alert_cmdb_ci.assignment_group.sys_id alert_cmdb_ci_key. pour récupérer une valeur de la table Balises CMDB. Par exemple, alert_cmdb_ci_key.notes d’abonnement. Avertissement : l’utilisation de la fonctionnalité « Exécuter après la liaison » peut affecter les performances de traitement des événements.

Cas d’utilisation typique : Extrayez « short_description » des enregistrements « pc_vendor_cat_item » en faisant correspondre son champ « nom » avec le champ « cat_item_name » dans le champ Informations supplémentaires de l’événement et mappez-le au champ « description » sur l’événement dans les champs suivants :

« Table de référence » : pc_vendor_cat_item
« Champ à faire correspondre » : nom
« Champ source » : short_description
« Champ d’alerte correspondant » : cat_item_name
« Champ cible » : description

Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
Sélectionnez Envoyer.

Exemple

Les valeurs suivantes constituent une règle prédéfinie qui est appliquée aux événements de la classe Trap From Enterprise 9 . Si les événements contiennent l’élément snmpTrapOID avec la valeur iso.org.dod.internet.private.enterprises.cisco.0.0, la règle de mappage modifie la valeur à recharger dans les alertes. Si les événements contiennent l’élément snmpTrapOID , une valeur iso.org.dod.internet.private.enterprises.cisco.0.1, la règle de mappage change la valeur en tcpConnectionClose dans les alertes.


Champ	Valeurs
Nom	cisco.snmpTrapOID
Source	Piège de Enterprise 9
Type de mappage	Mappage d’un champ et d’une valeur de transformation (champ unique).
Champ source	snmpTrapOID
Champ cible	snmpTrapOID
Paires de valeurs de transformation	Paire 1 Clé : iso.org.dod.internet.private.enterprises.cisco.0.0 Valeur : recharger Paire 2 Clé : iso.org.dod.internet.private.enterprises.cisco.0.1 Valeur : tcpConnectionClose

Que faire ensuite

Testez un mappage de champs d’événements en envoyant un événement qui inclut un champ présent dans le mappage de champs d’événements.