1. 경보 필드 추출 토글 스위치를 활성화합니다.
2. 소스 입력 필드 메뉴에서 값을 선택합니다. 메뉴에 표준 이벤트 필드, 추가 정보 및 태그가 표시됩니다. 그러면 필드 값이 표시됩니다. 표시되지 않은 필드 이름을 수동으로 입력하고 고유한 값을 추가할 수도 있습니다.

   예제 소스 이벤트 창에는 시스템의 최근 이벤트 샘플이 표시됩니다. 이벤트가 표시되지 않으면 이벤트를 생성할 수 있습니다. 이벤트 규칙 생성 또는 편집 문서를 참조하십시오.

3. 정규 표현식 필드에서 정규 표현식을 생성하여 원하는 값을 추출합니다.
   주:

   정규 표현식(regex) 형식 규칙을 사용하여 텍스트를 구성할 수 있습니다. 괄호가 있는 하나 이상의 캡처 그룹을 사용하여 입력의 일부를 추출합니다. 정규 표현식의 캡처 그룹은 나타나는 순서에 따라 경보 출력에 할당됩니다. 정규 표현식은 전체 입력과 일치해야 하므로 정규 표현식의 양쪽 끝을 .* 로 묶는 것이 좋습니다. 예를 들어, (\w+).acme.com.* 는 정규화된 도메인 이름으로 호스트 이름을 캡처합니다. 정규 표현식 엔진의 파서는 PCRE(Perl Compatible Regular Expressions)와 호환됩니다.

4. 경보 출력 필드에서 경보 필드 또는 경보 태그를 선택합니다. 새 필드 이름을 수동으로 입력할 수도 있습니다.

   경보 태그를 추가하려면 태그로 설정 확인란을 선택합니다.

   팁:

   보다 쉽게 필터링하고 그룹화할 수 있도록 소스 간에 공유할 수 있는 경보 태그(예: 바로 사용 가능한 태그)를 생성합니다.

   

5. 여러 이벤트 미리 보기를 선택하여 정규 표현식(regex)이 여러 예제에서 값을 올바르게 추출할 수 있을 만큼 범용인지 확인합니다.
   주:

   이 옵션은 예제 소스 이벤트를 사용할 수 있고 정규 표현식 필터와 일치하는 경우에만 사용할 수 있습니다.

   

추출할 추가 필드를 포함하려면 + 필드 추가를 선택합니다.

1. 필드 복사 또는 작성 토글 스위치를 활성화합니다.
2. 소스 입력 필드 메뉴에서 경보 필드 및/또는 경보 태그를 선택하고 필드 이름을 수동으로 입력하거나 자유 텍스트를 추가할 수도 있습니다. 경보 필드는 ${field} 구문 형식으로 표시됩니다.
3. 경보 출력 필드에서 기존 경보 필드 또는 경보 태그를 선택하거나 경보 필드를 수동으로 입력합니다. 경보 출력 필드는 구성된 경보 데이터를 포함하는 보강된 경보입니다.
   보다 쉽게 그룹화하려면 메뉴에서 태그를 선택할 수 있습니다. 새 필드 이름을 그룹화를 위한 태그로 사용하려면 태그로 설정 확인란을 선택합니다.

   팁:

   보다 쉽게 필터링하고 그룹화할 수 있도록 소스 간에 공유할 수 있는 경보 태그(예: 바로 사용 가능한 태그)를 생성합니다.

   

추가 경보 데이터 구성을 만들려면 + 필드 추가를 선택합니다.

1. 경보 값 변경 토글 스위치를 활성화합니다.
2. 경보 필드에 값을 매핑할 경보의 필드를 입력합니다.
3. 시작 값 필드에 변경하려는 경보 필드에 원래 값을 입력합니다.
4. 대상 값 필드에 경보 필드의 원래 값을 대체할 새 값을 입력합니다.

   필드 값을 더 추가하려면 + 값 추가 를 선택하고, 매핑할 필드를 더 추가하려면 + 매핑할 필드 추가를 선택합니다.

이 옵션을 사용하면 CI(구성 항목)를 경보에 연결하여 가시성을 높이고 문제를 더 빠르게 해결할 수 있도록 경보가 올바른 IT 구성요소와 연결되도록 할 수 있습니다.

이벤트가 시스템에 입력되면 이벤트 기록에서 노드 와 같은 키 필드를 사용할 수 있습니다. CI가 호스트인 경우 노드 필드에 값이 있어야 합니다. 호스트 CI에는 컴퓨터, 운영 체제(OS), 스위치, 라우터 또는 [cmdb_ci_hardware] 테이블을 확장하는 모든 CI 유형이나 클래스가 포함됩니다. 즉, 하드웨어 구성요소여야 합니다.

노드 필드가 CI 자체에 없기 때문에 시스템은 이벤트의 노드 값을 호스트 CI의 추가 정보 필드에 있는 속성(예: 이름, 전체 주소 도메인 이름(FQDN), IP 또는 MAC 주소)과 비교합니다. 일치하는 항목이 발견되면 경보가 해당 CI에 연결됩니다.

1. CI가 호스트인 경우:

   1. 경보를 바인딩하거나 매핑할 CI 클래스를 선택합니다.

      항목 보기를 선택하여 사용 가능한 CI 클래스 목록을 확인한 다음 목록에서 CI 클래스를 선택합니다.

   2. 호스트 CI를 식별할 수 있도록 경보의 노드 필드가 올바르게 채워져 있는지 확인합니다.

      노드 필드 값이 표시되는 위치를 확인하는 방법 표시를 선택합니다.

   3. 경보의 추가 정보 필드에 하나 이상의 CI 속성이 있는지 확인합니다.
      주:

      CI 식별이 성공하려면 경보의 추가 정보에 있는 모든 CI 속성이 CI의 속성 키 및 값 형식과 일치하고 일치하는 CI가 정확히 하나 있어야 합니다.

      추가 정보 필드에 CI 속성과 일치하는 하나 이상의 필드 및 값이 포함되도록 하는 지침을 보려면 방법 표시를 선택하십시오. 자세한 내용과 예제는 문서를 참조하십시오 CI 속성 형식과 일치하도록 추가 정보 필드 설정.

2. 비호스트 CI는 서비스 또는 VM(가상 머신)과 같이 [cmdb_ci_hardware] 테이블을 확장하지 않는 CI입니다. 시스템은 선택한 CI 유형에 따라 적절한 CMDB 테이블에서 일치하는 CI를 검색합니다. 예를 들어 CI 클래스로 파일 시스템을 선택하면 시스템은 이벤트 규칙 기록, 특히 추가 정보 필드의 상세 정보를 사용하여 [cmdb_ci_file_system] 테이블에서 일치하는 기록을 검색합니다.

   CI가 비호스트인 경우:

   1. 비호스트 CI를 선택하여 경보를 바인딩하거나 매핑합니다.

      항목 보기를 선택하여 사용 가능한 CI 클래스 목록을 확인한 다음 목록에서 CI 클래스를 선택합니다.

   2. 필드 복사 또는 작성 섹션에서 노드 필드를 선택 취소하여 비호스트 CI를 식별합니다.

      노드 필드를 지우는 방법을 알아보는 방법 표시를 선택합니다.

   3. 경보의 추가 정보 필드에 하나 이상의 CI 속성이 있는지 확인합니다.
      주:

      CI 식별이 성공하려면 경보의 추가 정보에 있는 모든 CI 속성이 CI의 속성 키 및 값 형식과 일치하고 일치하는 CI가 정확히 하나 있어야 합니다.

      추가 정보 필드에 CI 속성과 일치하는 하나 이상의 필드 및 값이 포함되도록 하는 지침을 보려면 방법 표시를 선택하십시오. 자세한 내용과 예제는 문서를 참조하십시오 CI 속성 형식과 일치하도록 추가 정보 필드 설정.

      시스템은 경보의 추가 정보 필드 값을 CI 테이블과 일치시키려고 시도합니다. 일치하는 항목이 발견되면 경보가 해당 CI에 연결됩니다.

CI 바인딩에 대한 자세한 내용은 CI에 경보 바인딩 문서를 참조하십시오.