2 全局事件关联
概述
全局事件关联允许覆盖Zabbix监控的所有指标并创建关联性。
可以关联由完全不同的触发器创建的事件,并对它们应用相同的操作。 通过创建智能关联规则,实际上可以避免数以千计的重复通知,并专注于问题的根本原因!
全局事件关联是一种强大的机制,它可以让您从基于单个触发的问题和解决逻辑中解开自己。 到目前为止,单个问题事件是由一个触发器创建的,我们依赖于相同的问题解决触发器。 我们无法用另一个触发器解决一个触发器创建的问题。 但是基于事件标记的事件关联,我们可以。
例如,日志触发器可以报告应用程序问题,而轮询触发器可以报告应用程序启动并运行。 利用事件标记,您可以将日志触发器标记为状态:Down,而将轮询触发器标记为状态:Up。 然后,在全局关联规则中,您可以关联这些触发器并为此关联分配适当的操作,例如关闭旧事件。
在另一种用途中,全局关联可以识别类似的触发器并对它们应用相同的操作。 如果我们每个网络端口问题只能获得一个问题报告怎么办? 无需全部报告。 通过全局事件关联也是能够实现的。
全局事件关联在关联规则中配置。 关联规则定义新问题事件如何与现有问题事件配对以及在匹配情况下要执行的操作(关闭新事件,通过生成相应的OK事件来关闭匹配的旧事件)。 如果问题被全局关联关闭,则会在监控 - > 问题的消息列中报告。
配置全局关联规则仅适用于Zabbix超级管理员级别用户。
<note important>必须非常仔细地配置事件关联,因为它会对事件处理性能产生负面影响,或者如果配置错误,会关闭比预期更多的事件(在最坏的情况下,甚至可以关闭所有问题事件)。</ note>
要安全地配置全局关联,请遵循以下重要提示:
- 减少相关范围。 始终为与旧事件配对的新事件设置唯一标记,并使用新事件标记关联条件;
- 使用关闭旧事件操作时,根据旧事件添加条件(或者可以关闭所有现有问题);
- 避免使用可能最终被不同关联配置使用的常见标记名称;
- 保持关联规则的数量仅限于您真正需要的数量。
可参考: known issues.
配置
要全局配置事件关联规则:
- 去Configuration → Event correlation
- 单击右侧创建相关性(或在相关名称上编辑现有规则)
- 在表单中输入关联规则的参数
所有必填输入字段都标有红色星号。
参数 描 | ||
---|---|---|
名称 唯 | 的关联规则名。 | |
计算类型 可以使 | 以下计算条件选项: 和 - 必须满足所有条件 或 - 如果满足一个条件就足够了 和 /或 - 具有不同条件类型的AND和具有相同条件类型的OR 自定义表达式 - 用于评估操作条件的用户定义计算公式。 它必须包括所有条件(表示为大写字母A,B,C,…),可能包括空格,制表符,括号(),和(区分大小写),或(区分大小写) , 不区分大小写)。 | |
条件 条 | 列表,从新条件字段中选择。 | |
新条件 选择 | 事件相关的条件,然后单击添加。可以使用以下条件: 示例1] ]) 旧事件标记 - 将新事件与具有相应旧事件标记的旧事件匹配 旧事件标记值 - 将新事件与旧事件匹配:新事件标记 - 匹配具有相应事件的新事件事件标记到旧事件 = - 具有相应的旧事件标记值 新事件主机组 - 将属于相应主机组的新事件与旧事件匹配 <> - 没有相应的旧事件标记事件标记对 - 将新事件与旧事件,如果两个事件中指定标签的值匹配。标签名称无需匹配。\此选项对于匹配运行时值非常有用,这在配置时可能是未知的(另请参见[[:manual / config / event_correlation / global#examples like - 在旧事件标记值中具有相应的字符串 | < not like - 在相应的旧事件标记中没有此字符串value 新事件标记值 - 如果新事件: = - 具有相应的新事件标记值 %%<>%%,则将新事件与旧事件匹配 - 没有相应的新事件标记值 like - 在新事件标记值中具有相应的字符串 not like - 在相应的新事件中没有此字符串标签值 |
说明 关 | 规则说明。 | |
已启用 如果 | 中此复选框,则将启用关联规则。 |
- 在表单中选择关联规则的操作
参数 描 | |
---|---|
操作 从 | 新操作*字段中选择的操作列表 |
新操作 选择 | 事件关联时执行的操作,然后单击添加。 可以使用以下操作: 关闭旧事件 - 在发生新事件时关闭旧事件。 使用关闭旧事件操作时,始终根据旧事件添加条件,或者可以关闭所有现有问题。 关闭新事件 - 当事件发生时关闭新事件 |
<note warning>由于配置错误,可能会为无关问题创建类似的事件标记,请查看下面列出的案例!</ note>
实际标记和标记值仅在触发器触发时可见。 如果使用的正则表达式无效,则使用* UNKNOWN *字符串静默替换它。 如果错过了具有* UNKNOWN *标记值的初始问题事件,则可能会出现具有相同* UNKNOWN *标记值的后续OK事件,这些事件可能会关闭它们不应关闭的问题事件。
如果用户使用不带宏函数的{ITEM.VALUE}宏作为标记值,则有255个字符的限制。 当日志消息很长并且前255个字符是非特定的时,这也可能导致类似的事件标记用于不相关的问题。
示例
示例1
停止来自同一网络端口的重复问题事件。
如果触发器上存在Host 和 Port标记值,并且它们在原始事件和新事件中相同,则此全局关联规则将关联问题。
此操作将关闭同一网络端口上的新问题事件,仅保持原始问题打开。