2 全局事件关联

概述

全局事件关联允许覆盖Zabbix监控的所有指标并创建关联性。

可以关联由完全不同的触发器创建的事件,并对它们应用相同的操作。 通过创建智能关联规则,实际上可以避免数以千计的重复通知,并专注于问题的根本原因!

全局事件关联是一种强大的机制,它可以让您从基于单个触发的问题和解决逻辑中解开自己。 到目前为止,单个问题事件是由一个触发器创建的,我们依赖于相同的问题解决触发器。 我们无法用另一个触发器解决一个触发器创建的问题。 但是基于事件标记的事件关联,我们可以。

例如,日志触发器可以报告应用程序问题,而轮询触发器可以报告应用程序启动并运行。 利用事件标记,您可以将日志触发器标记为状态:Down,而将轮询触发器标记为状态:Up。 然后,在全局关联规则中,您可以关联这些触发器并为此关联分配适当的操作,例如关闭旧事件。

在另一种用途中,全局关联可以识别类似的触发器并对它们应用相同的操作。 如果我们每个网络端口问题只能获得一个问题报告怎么办? 无需全部报告。 通过全局事件关联也是能够实现的。

全局事件关联在关联规则中配置。 关联规则定义新问题事件如何与现有问题事件配对以及在匹配情况下要执行的操作(关闭新事件,通过生成相应的OK事件来关闭匹配的旧事件)。 如果问题被全局关联关闭,则会在监控 - > 问题消息列中报告。

配置全局关联规则仅适用于Zabbix超级管理员级别用户。

::: noteimportant 必须非常仔细地配置事件关联,因为它会对事件处理性能产生负面影响,或者如果配置错误,会关闭比预期更多的事件(在最坏的情况下,甚至可以关闭所有问题事件)。:::

要安全地配置全局关联,请遵循以下重要提示:

  • 减少相关范围。 始终为与旧事件配对的新事件设置唯一标记,并使用新事件标记关联条件;
  • 使用关闭旧事件操作时,根据旧事件添加条件(或者可以关闭所有现有问题);
  • 避免使用可能最终被不同关联配置使用的常见标记名称;
  • 保持关联规则的数量仅限于您真正需要的数量。

可参考: known issues.

配置

要全局配置事件关联规则:

  • 配置关联事件
  • 在右侧点击新建关联 (或点击关联名称编辑已有规则)
  • 在表单中输入关联规则的参数

correlation_rule.png

所有必填输入字段都标有红色星号。

参数描述
名称唯一的关联规则名称。
计算类型有以下计算条件的选项可供选择:
And - 必须满足所有条件
Or - 如果满足一个条件就足够了
And/Or - AND 具有不同的条件类型和 OR 具有同一条件类型
自定义表达式 - 用于评估动作条件的用户定义的计算公式。它必须包括所有条件(以大写字母A、B、C、…表示),并可能包括空格、制表符、括号()、 and(区分大小写)、or(区分大小写)、not(区分大小写)。
条件条件列表。有关配置条件的详细信息,请参阅下文。
描述关联规则的描述。
操作在事件关联时标记要执行的操作的复选框。可以使用以下操作:
关闭旧事件 - 发生新事件时关闭旧事件。 使用关闭旧事件操作时,始终根据旧事件添加一个条件,否则现有的所有得问题都会关闭。
关闭新事件 - 新事件发生时关闭它。
已启用如果您标记此复选框,将启用关联规则。

要配置新条件的详细信息,请在条件模块里单击 2 全局事件关联 - 图2 。将打开一个弹出窗口,您可以在其中编辑条件 细节。

2 全局事件关联 - 图3

参数描述
新条件选择关联事件的条件。
注意 如果没有指定旧事件的条件,所有旧事件都可以被匹配和关闭。同样,如果没有指定新事件的条件,所有新事件都可以被匹配和关闭。
有以下条件选项可供选择:
旧事件标签 - 指定用于匹配旧事件的标签。
新事件标签 - 指定用于匹配新事件的标签。
新事件主机组 - 指定要匹配新事件的主机组。
事件标签对 - 指定新事件的标签和旧事件的标签以进行匹配。在这种情况下,如果两个事件的标签的匹配,事件也将匹配。标签名称不需要匹配。
此选项可用于匹配运行时值,该值在配置时可能不知道(另见示例 1)。
旧事件标签值 - 指定用于匹配的旧事件标签名称和值,使用以下运算符:
等于 - 有旧事件标签值
不等于 - 没有旧事件标签值
包含 - 有旧事件标签值中的字符串
不包含 - 没有旧事件标签值中的字符串
新事件标签标签值 - 使用以下运算符指定用于匹配的新事件标签名称和值:
等于 - 有新事件的标签值
不等于 - 没有新事件的标签值
包含 - 有新事件标签值中的字符串
不包含 - 没有新事件标签值中的字符串

因为配置错误是可能的,当类似的 可能会为无关的问题创建事件标签,请查看下面概述的案例!

  • 实际标签和标签值只有在触发器触发时才会可见。 如果使用的正则表达式无效,则将其静默替换使用*UNKNOWN*字符串。如果初始问题事件与*UNKNOWN*标签值缺失,可能会出现后续的具有相同*UNKNOWN*标签值的正常事件,可能会关闭问题他们不应该关闭的事件。

  • 如果用户使用{ITEM.VALUE}宏,而不使用宏函数作为标签值,则适用255个字符的限制。日志信息时很长,且前255个字符是非特定的,这可能还会导致无关问题有类似的事件标签。

示例

示例 1

停止来自同一网络端口的重复问题事件。

2 全局事件关联 - 图4

如果触发器上存在主机端口的标签值与最初的事件的相同,这个全局关联规则会关联问题。

这个操作将会关闭同一网络端口的新的问题事件,只保留最初的问题事件。