경보 필드 추출 및 작성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 추출 및 작성은 경보 출력에 표시되는 내용을 관리하는 방법으로, 필터링, 그룹화 및 읽기를 더 간단하게 만듭니다. 경보 자동화를 사용하면 이벤트 페이로드의 경보 필드에서 값을 추출하여 경보 출력 필드에 배치할 수 있습니다. 작성을 사용하면 여러 경보 필드를 단일 출력 필드로 병합할 수 있습니다.

    경보 필드 추출 중

    경보 알림에는 이벤트 페이로드 내에 묻혀 있는 관련 컨텍스트가 포함되어 있는 경우가 많습니다. 기존 페이로드의 값으로 경보 출력을 보강하면 경보의 중요성을 더 잘 이해하고 적절한 해결 단계를 결정할 수 있습니다. 예를 들어 호스트 이름에는 일반적으로 서비스, 노드, 클러스터, 데이터센터 및 도메인과 같은 중요한 정보가 포함됩니다. 수신 호스트 데이터를 기반으로 클러스터 태그의 값을 자동으로 추가하려면 클러스터 데이터만 추출하면 됩니다.

    경보 필드를 추출할 때 정규 표현식(regex)을 사용하여 값 수식을 작성합니다. 정규 표현식을 사용하면 페이로드의 관련 부분을 정확하게 식별하고 캡처하여 의미 있고 실행 가능한 경보 알림을 생성할 수 있습니다.
    주:
    정규 표현식(regex) 형식 규칙을 사용하여 텍스트를 구성할 수 있습니다. 괄호가 있는 하나 이상의 캡처 그룹을 사용하여 입력의 일부를 추출합니다. 정규 표현식의 캡처 그룹은 나타나는 순서에 따라 경보 출력에 할당됩니다. 정규 표현식은 전체 입력과 일치해야 하므로 정규 표현식의 양쪽 끝을 .* 로 묶는 것이 좋습니다. 예를 들어, (\w+).acme.com.* 는 정규화된 도메인 이름으로 호스트 이름을 캡처합니다. 정규 표현식 엔진의 파서는 PCRE(Perl Compatible Regular Expressions)와 호환됩니다.
    그림 1. 경보 필드 추출
    경보 필드 추출
    괄호가 있는 여러 캡처 그룹을 사용하는 경우 추출된 각 값은 별도의 출력 필드에 표시됩니다.
    그림 2. 다중 경보 출력에 대한 필드 추출
    다중 경보 출력에 대한 필드 추출
    여러 이벤트 미리 보기를 선택하여 예제 이벤트에서 경보 출력을 미리 보고 값이 예상대로 추출되는지 확인합니다.
    주:
    이 옵션은 예제 소스 이벤트를 사용할 수 있고 정규 표현식 필터와 일치하는 경우에만 사용할 수 있습니다.

    예: 경보 필드 추출

    이벤트의 특정 필드에서 6개의 문자만 추출하여 mynewfield라는 새 경보 필드에 표시해야 한다고 가정해 보겠습니다. 나중에 경보 그룹화에 사용할 수 있도록 이 새 경보 필드에 태그를 지정할 수도 있습니다. 이를 달성하는 방법은 다음과 같습니다.
    • 소스 입력 필드: 데이터를 추출할 이벤트 필드를 선택합니다. 이 경우 필드는 메트릭 이름입니다.
    • 정규 표현식: 정규 표현식을 사용하여 선택한 필드의 값에서 필요한 특정 부분을 추출합니다. 예를 들어 메트릭 이름 필드 값에 "%의 무료 스왑 공간"이 포함되어 있는 경우 "무료 스왑"을 추출하려면 정규 표현식이 (.........)여야 합니다. *.
    • 경보 출력:
      • 기존 경보 필드 또는 기존 경보 태그를 선택하거나 새 필드 이름을 수동으로 입력합니다. 이 경우 새 필드 이름 mynewfield를 입력해 보겠습니다.
      • 나중에 태그 기반 그룹화에서 사용할 mynewfield 를 태그로 설정합니다. 필드 이름 앞에 태그가 표시됩니다.

      선택한 필드 값(이 경우 메트릭 이름 필드 값)에 정규 표현식을 적용한 후 경보 출력 필드 아래에 추출된 단어가 표시되는지 확인합니다. 예를 들어 정규식이 올바르게 일치하면 "Free swap"이 표시되어야 합니다.

    • 여러 이벤트 미리 보기: 여러 이벤트를 미리 보면 정규 표현식이 다양한 예제 이벤트에서 데이터를 정확하게 추출하는지 확인할 수 있습니다. 이렇게 하면 정규식에 대한 조정이 필요한지 여부를 결정하는 데 도움이 됩니다.

    경보 필드 작성

    경보 출력을 만들 때 포함할 필드, 태그 또는 자유 텍스트를 선택하거나 수동으로 입력할 수 있습니다. 이 데이터는 경보를 더 잘 관리하고 이해하기 위해 쉽게 읽고, 필터링하고, 그룹화할 수 있습니다.

    그림 3. 경보 필드 작성
    경보 필드 작성

    예: 경보 필드 작성

    데이터를 작성하는 두 개의 입력 필드를 사용하여 두 개의 서로 다른 경보 출력 필드에 표시하려고 한다고 가정해 보겠습니다. 한 시나리오에서는 새 필드와 함께 기존 경보 필드에서 소스 값을 가져와 새 경보 출력 필드에 구성된 값을 표시하려고 합니다. 또한 나중에 태그 기반 그룹화에서 사용할 수 있도록 새 경보 출력 필드에 태그를 지정할 계획입니다. 다른 시나리오에서는 기존 필드를 자유 텍스트와 결합하고 기존 경보 필드에 표시할 경보 출력을 선택합니다. 이를 달성하는 방법은 다음과 같습니다.
    • 시나리오 1:
      1. 소스 입력 필드: 기존 경보 필드를 선택하고 "and" 텍스트를 추가한 다음 u_eventid 다른 필드를 입력합니다. 예: ${classification} 및 ${u_eventid}.

        경보 필드는 ${field} 구문 형식으로 표시됩니다. 드롭다운 목록에서 필드 이름을 선택할 수도 있으며 구문이 자동으로 추가됩니다.

      2. 경보 출력: 입력 필드의 값을 표시할 새 경보 필드의 이름을 입력합니다. 예를 들어 이름을 mynewfield로 지정해 보겠습니다.

        나중에 태그 기반 그룹화에서 사용할 mynewfield 를 태그로 설정합니다. 필드 이름 앞에 태그가 표시됩니다.

    • 시나리오 2:
      1. 소스 입력 필드: 기존 경보 필드를 선택하고 경보 출력 필드에 원하는 자유 텍스트를 포함합니다. 예: 문제 유형: 심각도가 ${severity}인 ${type}.

        경보 필드는 ${field} 구문 형식으로 표시됩니다. 드롭다운 상자에서 필드 이름을 선택할 수도 있으며 구문이 자동으로 추가됩니다.

      2. 경보 출력: 입력 필드의 값을 표시하려는 기존 경보 필드를 선택합니다. 예를 들어 설명을 선택합니다.