2 Глобальная корреляция событий

Обзор

Глобальная корреляция событий позволят охватить все метрики, наблюдаемые Zabbix, и создавать корреляции.

Имеется возможность сопоставления событий, которые были созданы совершенно разными триггерами, и применения одних и тех же операций к ним ко всем. Созданием интеллектуальные правил корреляции можно обезопасить себя от тысяч повторяющихся оповещений и сфокусироваться на реальных причинах проблемы!

Глобальная корреляция событий - мощный механизм, который позволяет вам отвязать себя от логики проблемы и решения, основанной на одном триггере. До сих пор одно событие о проблеме создавалось одним триггером, и мы зависели от этого же триггера в плане решения проблемы. Мы не могли решить проблему, которая была создана одним триггером, при помощи другого триггера. Но с корреляцией событий на основе тегов событий, мы можем.

Например, триггер на журнал может сообщать о проблемах с приложением, в то время как триггер на основе опроса может сообщать, что приложение запущено и работает. Используя теги событий, вы можете пометить триггер на журнал как Состояние: Недоступен, тогда как тегом триггера на основе опроса будет Состояние: Доступен. Затем, в глобальном правиле корреляции вы можете соотнести эти триггеры и назначить соответствующую операцию на такую корреляцию, такую как закрытие старых событий.

В другом случае глобальная корреляция может распознавать похожие триггеры и применять к ним ту же операцию. Что если мы можем получить только одно сообщение о проблемах по каждому сетевому порту? Не требуется сообщать по ним всем. Это также возможно при помощи глобальной корреляции событий.

Глобальная корреляция событий настраивается в правилах корреляции. Правило корреляции определяет, каким образом новые события о проблемах соотносятся с существующими событиями о проблемах и что делать в случае совпадения (закрыть новое событие, закрыть старые события, сформировав соответствующие ОК события). Если проблема закрыта при помощи глобальной корреляции, об этом сообщается в Инфо колонке в МониторингПроблемы.

Настройка глобальных правил корреляции доступна только пользователям с уровнем Zabbix Супер Администратор.

Корреляцию событий необходимо настраивать очень осторожно, так как некорректная настройка может негативно сказаться на производительности обработки событий или может привести к закрытию большего количества событий, чем предполагается (в худшем случае будут закрыты все события о проблемах).

Для безопасной настройки глобальной корреляции обратите внимание на следующие важные советы:

  • Уменьшайте масштаб корреляции. Всегда указывайте новому событию уникальный тег, который соотносится со старыми событиями, и используйте условие корреляции Тег нового события;
  • Добавляйте условие, которое основывается на старом событии, при использовании операции Закрыть старое событие (в противном случае могут быть закрыты все существующие проблемы);
  • Избегайте использования общих имен тегов, которые в итоге могут быть использованы разными настройками корреляций;
  • Ограничьте количество правил корреляции теми, которые вам действительно необходимы.

Смотрите также: известные проблемы.

Настройка

Для настройки глобальных правил корреляции событий:

  • Перейдите в НастройкаКорреляция событий
  • Нажмите на Создать корреляцию справа (или на имя корреляции, чтобы изменить уже имеющееся правило)
  • В диалоге введите параметры правила корреляции

correlation_rule.png

Все обязательные поля ввода отмечены красной звёздочкой.

Параметр Описание
Имя Уникальное имя правила корреляции.
Тип вычисления Для вычисления условий доступны следующие опции:
И - должны быть выполнены все условия
Или - достаточно выполнения одного условия
И/Или - И с разными типами условий и ИЛИ с одинаковым типом условий
Пользовательское выражение - формула вычисления, введенная пользователем, для оценки условий действия. Она должна включать в себя все условия (представленные в виде прописных букв A, B, C, …) и может включать пробелы, символы табуляции, скобки ( ), and (с учетом регистра), or (с учетом регистра), not (с учетом регистра).
Условия Список условий. Смотрите ниже для получения более подробных сведений по настройке условий.
Описание Описание правила корреляции.
Операции Отметьте операции, выполняемые при успешной корреляции события. Доступны следующие операции:
Закрыть старые события - закрыть старые события при появлении нового события. Всегда добавляйте условие на основе старого события при использовании операции Закрыть старые события, или будут закрыты все существующие проблемы.
Закрыть новое событие - закрыть новое событие при его появлении
Активировано Если вы отметите этот параметр, правило корреляции будет активировано.

Чтобы настроить детали нового условия, нажмите на (Добавить) в блоке Условия. Откроется всплывающее окно, где вы сможете отредактировать детали условия.

Параметр Описание
Новое условие Выберите условия для корреляции событий.
Обратите внимание, если условие на старое событие не указано, все старые события могут быть сопоставлены и затем закрыты. Точно так же, если условие на новое событие не указано, все новые события могут быть сопоставлены и затем закрыты.
Доступны следующие условия:
Имя тега старого события - тег старого события для поиска совпадения
Имя тега нового события - тег нового события для поиска совпадения
Группа узлов сети нового события - группа узлов сети нового события для поиска совпадения
Пара тегов событий - новый тег событий и старый тег событий для поиска совпадений. В этом случае будет совпадение, если совпадают значения тегов в обоих событиях. Имена тегов не должны совпадать.
Эта опция может быть полезна для сопоставления значений в реальном времени, которые могут быть неизвестны в процессе настройки (смотрите также Пример 1)
Значение тега старого события - имя и значение тега старого события для поиска совпадения с использованием следующих операторов:
равно - имеет значение тега старого события
не равно - не имеет значение тега старого события
содержит - имеет соответствующую строку в значении тега старого события
не содержит - не имеет соответствующую строку в значении тега старого события
Значение тега нового события - имя и значение тега нового события для поиска совпадения с использованием следующих операторов:
равно - имеет значение тега нового события
не равно - не имеет значение тега нового события
содержит - имеет соответствующую строку в значении тега нового события
не содержит - не имеет соответствующую строку в значении тега нового события

Посколько возможна некорректная настройка, когда аналогичные теги событий могут быть созданы по не связанным проблемам, пожалуйста, ознакомьтесь со случаями, которые описаны ниже!

  • Фактически теги и значения тегов становятся видны только при срабатывании триггера. Если используемое регулярное выражение ошибочно, оно автоматически заменится на строку *НЕИЗВЕСТНО*. Если изначальное событие о проблеме с *НЕИЗВЕСТНО* пропущено, могут появиться последующие события OK с таким же значением тега *НЕИЗВЕСТНО*, которые могут закрыть события о проблеме, которые они не должны были бы закрывать.
  • Если пользователь в качестве значения тега использует макрос {ITEM.VALUE} без функций макросов, то будет применяться ограничение по длине строки в 255 символов. Когда в журнале имеются длинные сообщения и первые 255 символов не конкретизируют проблему, это может привести к одинаковым тегам событий по не связанным проблемам.
Пример 1

Остановка повторяющихся событий о проблемах с одного и того же сетевого порта.

Такое глобальное правило корреляции сопоставит проблемы, если у триггера существуют значения тегов Host и Port, и они одинаковые как у оригинального события, так и у нового события.

Эта операция будет закрывать новые события о проблемах по тому же самому сетевому порту, оставив открытой только изначальную проблему.