ルールエンジンの変数展開

ルールエンジンの変数展開機能についてです。ルールエンジンの変数機能は、アラートフィールドの内容をルールに取り込むことができるため、ユーザーはアラートからのデータで注釈や変換を動的に更新することができます。

ルールエンジンは、アラートフィールドの内容をルールに取り込むことができるため、ユーザーはアラートからのデータで注釈や変換を動的に更新することができます。これを行うには、 ペイロードフィールドで `{{field\_name}} を使用します。または、構文 \ {{\\n}} (n はキャプチャ グループの番号)で正規表現(RegEx)キャプチャグループを使用することもできます。

ペイロードフィールドによる変数展開

  • アラートから影響を受けたホストの名前を取り出し、wiki ドキュメントの URL リンクに追加します。この情報を含むアラートのフィールドは host_nameです。

VariableExpansion1

  • モニタリングツールから提供された画像リンクを注釈に変えます。

VariableExpansion2

  • 複数のフィールドを state_message に結合することで、ユーザーはそのフィールドの元の情報を失うことなく、通知により多くの情報を得ることができます。これは、含めるフィールドが error_messageであると仮定しています。

TransformExample3

RegExキャプチャグループを使用した変数展開

正規表現キャプチャグループはカッコ内で定義されます。これらのキャプチャグループは、ペイロードフィールドと同じ方法で変数の展開に使用できます。唯一の違いは、以下に示すように、キャプチャグループ番号で値を参照する必要があることです。

RegExキャプチャグループを使用します。

"([^\n]+)" は、改行文字でない 1 つ以上の文字をキャプチャします。