事件標籤增強處理器(Label Enrich)— 根據已有標籤從外部資料來源查詢並附加新標籤,豐富告警上下文。
概述
Label Enrich(標籤增強)事件處理器是一個用於增強告警事件標籤資訊的元件。它可以根據事件現有的標籤,從外部資料來源(如資料庫表)中查詢並新增額外的標籤資訊,從而為告警事件提供更豐富的上下文資訊。
主要功能
- 標籤增強:根據事件現有標籤,從設定的資料來源中查詢並新增新的標籤
- 靈活對應:支援標籤鍵的重新命名與自訂對應
- 高效能查詢:使用記憶體快取機制,確保快速的標籤查詢與比對
使用場景
- 地理位置增強:根據 IP 位址或機房代碼,新增城市、區域等地理資訊標籤
- 資源屬性增強:根據主機名或實例 ID,新增業務線、環境類型、負責人等資訊
- 層級關係增強:根據命名空間或服務名,新增專案、團隊、部門等組織架構資訊
設定說明
基本設定
在建立處理器時,頁面頂部會出現如下欄位:
| 欄位 | 說明 |
|---|---|
| 類型 | 選擇 Label Enrich。 |
| 標籤來源 | 目前支援 內建標籤詞表(預設)。後續可擴展外部詞表。 |
| 詞表名稱 | 從下拉框中選擇具體的詞表,例如 門市資訊。 |
提示:系統會先根據「源標籤」建構查詢索引,在詞表中查詢比對記錄,再按「新增標籤」把查詢到的欄位寫入事件。
源標籤設定(索引鍵)
該區域用於指定查詢索引的組成。每列對應一對「詞表欄位」與「事件標籤」。
| 欄位 | 作用 | 範例 |
|---|---|---|
| 詞表中的欄位 | 詞表中用於索引的欄位名稱 | storeCode |
| 對應事件中的標籤 | 告警事件中已存在的標籤鍵 | storeCode |
設定完多列後,系統會依以下規則拼接索引鍵:
- 取每列 詞表欄位=事件中對應 標籤值;若標籤缺失則整條查詢放棄。
- 將所有鍵值對按字母排序後,用逗號連接。
拼接範例:
storeCode=001,namespace=prod
新增標籤設定(結果對應)
在此區域選擇需要寫回事件的欄位。每列表示一條寫入規則:
| 參數 | 說明 | 範例 |
|---|---|---|
| 詞表欄位 | 查詢結果中的欄位名稱,如 cityName |
cityName |
| 重新命名標籤 Key | 開關。關閉時,使用詞表欄位作為標籤鍵;開啟後,可輸入新的標籤鍵 | 開啟 → city |
一個常見做法是:
- 勾選
重新命名標籤 Key後,將業務無關的欄位名取代為業務友善的標籤鍵,例如cityName → city。
您可以透過右側的 「+」 按鈕繼續增加要寫入的標籤列。
測試
設定完成後,點選底部 測試 按鈕,輸入一組待測試的事件標籤(如 storeCode=001,namespace=prod),即可檢視系統從詞表中檢索出的欄位及最終寫入事件的效果。
設定範例
場景:主機標籤增強
源標籤設定:
- hostname → hostname
新增標籤設定:
- department → dept
- owner → owner
- environment → env
效果:
原始事件標籤:{hostname: "web-server-01"}
增強後標籤:{hostname: "web-server-01", dept: "技术部", owner: "张三", env: "production"}
注意事項
- 索引完整性:確保所有設定的源標籤在事件中都存在,否則查詢將被略過
- 欄位比對:確保新增標籤設定中的源鍵名稱與資料來源中的欄位名稱完全比對
- 標籤衝突:如果新增的標籤鍵與事件現有標籤衝突,新值會覆寫原值
故障排除
常見問題
問題 1:標籤沒有被增強
- 檢查源標籤是否完整存在於事件中
- 驗證索引鍵格式是否正確
問題 2:標籤值不正確
- 確認資料來源中的欄位名稱與設定一致
- 檢查標籤對應資料的更新時間
- 驗證重新命名設定是否正確
透過合理設定和使用 Label Enrich 處理器,您可以顯著提升告警事件的資訊豐富度,為後續的告警處理與分析提供更多有價值的上下文資訊。
