Extraction et composition de champs d’alerte

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • L’extraction et la composition sont des moyens de gérer ce que vous voyez dans la sortie d’alerte, ce qui simplifie le filtrage, le regroupement et la lecture. L’automatisation des alertes vous permet d’extraire des valeurs du champ d’alerte de la charge utile de l’événement et de les placer dans un champ de sortie d’alerte. La composition vous permet de fusionner plusieurs champs d’alerte en un seul champ de sortie.

    Extraction des champs d’alerte

    Les notifications d’alerte contiennent souvent un contexte pertinent enfoui dans les charges utiles de l’événement. En enrichissant les sorties d’alerte avec des valeurs de la charge utile existante, vous pouvez mieux comprendre l’importance des alertes et déterminer les étapes appropriées pour la résolution. Par exemple, un nom d’hôte inclut généralement des informations cruciales telles que le service, le nœud, la grappe, le centre de données et le domaine. Pour ajouter automatiquement la valeur d’une balise de cluster en fonction des données de l’hôte entrant, vous pouvez extraire uniquement les données du cluster.

    Lors de l’extraction des champs d’alerte, utilisez des expressions régulières (regex) pour générer des formules de valeur. Regex vous permet d’identifier et de capturer avec précision les parties pertinentes de la charge utile, ce qui permet de créer des notifications d’alerte significatives et exploitables.
    Remarque :
    Vous pouvez composer du texte en utilisant les conventions de format d’expression régulière (regex). Utilisez un ou plusieurs groupes de capture avec des parenthèses pour extraire des parties de l’entrée. Les groupes de capture de l’expression régulière sont affectés aux sorties d’alerte en fonction de l’ordre dans lequel elles apparaissent. La regex doit correspondre à l’ensemble de l’entrée, pensez donc à entourer votre regex de .* à chaque extrémité. Par exemple, (\w+).acme.com.* capture le nom d’hôte dans un nom de domaine complet. L’analyseur du moteur regex est compatible avec les expressions régulières compatibles Perl (PCRE).
    Figure 1. Extraire des champs d'alertes
    Extraire des champs d'alertes
    Si vous utilisez plusieurs groupes de capture avec des parenthèses, chaque valeur extraite apparaît dans un champ de sortie distinct.
    Figure 2. Extraire le champ pour plusieurs sorties d’alerte
    Extraire le champ pour plusieurs sorties d’alerte
    Prévisualisez la sortie de l’alerte dans les exemples d’événements pour vérifier que les valeurs sont extraites comme prévu en sélectionnant Prévisualiser plusieurs événements.
    Remarque :
    Cette option n’est disponible que lorsque des exemples d’événements sources sont disponibles et mis en correspondance avec le filtre regex.

    Exemple : extraction de champs d’alerte

    Supposons que vous ayez besoin d’extraire seulement six lettres d’un champ spécifique d’un événement et de les afficher dans un nouveau champ d’alerte nommé mynewfield. Vous souhaitez également baliser ce nouveau champ d’alerte pour une utilisation ultérieure dans le regroupement d’alertes. Voici comment vous pouvez y parvenir :
    • Champ d’entrée source : sélectionnez le champ d’événement dont vous souhaitez extraire les données. Dans ce cas, le champ est Ressource.
    • Expression régulière : utilisez une expression régulière pour extraire la partie spécifique dont vous avez besoin de la valeur du champ sélectionné. Par exemple, si la valeur du champ Ressource contient « Zabbix integration » et que vous souhaitez extraire « Zabbix », votre expression régulière doit être (......). *.
    • Sortie d’alerte :
      • Choisissez un champ d’alerte existant, une balise d’alerte existante ou saisissez manuellement un nouveau nom de champ. Dans ce cas, saisissons un nouveau nom de champ mynewfield.
      • Définissez mynewfield en tant que balise pour une utilisation ultérieure dans le regroupement basé sur les balises. Remarquez la balise affichée avant le nom du champ.

      Après avoir appliqué l’expression régulière à la valeur du champ sélectionné (dans ce cas, la valeur du champ Ressource ), vérifiez le mot extrait affiché sous le champ de sortie d’alerte . Par exemple, il devrait afficher « Zabbix » si l’expression régulière correspond correctement.

    • Prévisualiser plusieurs événements : l’aperçu de plusieurs événements vous permet de vérifier si l’expression régulière extrait avec précision les données d’une plage d’exemples d’événements. Cela permet de déterminer si des ajustements de l’expression régulière sont nécessaires.

    Composition de champs d’alerte

    Lors de la création d’une sortie d’alerte, vous pouvez sélectionner ou saisir manuellement les champs, les balises ou le texte libre à inclure. Ces données peuvent être facilement lues, filtrées et regroupées pour une meilleure gestion et compréhension des alertes.

    Figure 3. Composer des champs d’alerte
    Composer des champs d’alerte

    Exemple : composition de champs d’alerte

    Supposons que vous souhaitiez avoir deux champs d’entrée qui composent des données et les affichent dans deux champs de sortie d’alerte différents. Dans un scénario, vous souhaitez que la valeur source provienne d’un champ d’alerte existant ainsi que d’un nouveau champ, affichant la valeur composée dans un nouveau champ de sortie d’alerte. Vous prévoyez également de baliser le nouveau champ de sortie d’alerte pour une utilisation ultérieure dans le regroupement basé sur les balises. Dans l’autre scénario, vous combinez des champs existants avec du texte libre et sélectionnez la sortie d’alerte à afficher dans un champ d’alerte existant. Voici comment vous pouvez y parvenir :
    • Scénario 1 :
      1. Champ d’entrée source : sélectionnez un champ d’alerte existant et ajoutez le texte « et », puis saisissez un nouveau nom de champ tel que NewTest. Par exemple : ${classification} et ${NewTest}.

        Notez que les champs d’alerte sont affichés au format syntaxique ${field} . Vous pouvez également sélectionner le nom du champ dans la liste déroulante, et la syntaxe sera ajoutée automatiquement.

      2. Sortie d’alerte : saisissez le nom du nouveau champ d’alerte dans lequel vous souhaitez afficher les valeurs des champs d’entrée. Par exemple, nommons-le mynewfield.

        Définissez mynewfield en tant que balise pour une utilisation ultérieure dans le regroupement basé sur les balises. Remarquez la balise affichée avant le nom du champ.

    • Scénario 2 :
      1. Champ d’entrée source : sélectionnez des champs d’alerte existants et incluez le texte libre souhaité pour la façon dont vous souhaitez qu’ils apparaissent dans le champ de sortie d’alerte. Par exemple : ${ci_type} et ${node} avec l’état ${resolution_state}.

        Les champs d’alerte sont affichés au format syntaxique ${field} . Vous pouvez également sélectionner le nom du champ dans la liste déroulante, et la syntaxe sera ajoutée automatiquement.

      2. Sortie d’alerte : sélectionnez un champ d’alerte existant dans lequel vous souhaitez afficher les valeurs des champs d’entrée. Par exemple, sélectionnez Description.