Sidebar

Zabbix Summit 2022
View presentations

2 Corrélation globale des événements

Aperçu

La corrélation globale des événements permet d’atteindre toutes les mesures surveillées par Zabbix et de créer des corrélations.

Il est possible de corréler des événements créés par des déclencheurs complètement différents et d'appliquer les mêmes opérations à tous. En créant des règles de corrélation intelligentes, il est effectivement possible de vous épargner des milliers de notifications répétitives et de vous concentrer sur les causes profondes d'un problème !

La corrélation globale des événements est un mécanisme puissant, qui vous permet de vous libérer de la logique de résolution de problème basée sur un déclencheur. Jusqu'à présent, un seul événement problématique a été créé par un déclencheur et nous étions dépendants de ce même déclencheur pour la résolution du problème. Nous n'avons pas pu résoudre un problème créé par un déclencheur avec un autre déclencheur. Mais avec la corrélation d'événements basée sur les tags d'événements, nous pouvons le faire.

Par exemple, un déclencheur sur un fichier journal peut signaler des problèmes au niveau de l'application, tandis qu'un déclencheur d'interrogation peut signaler que l'application est active et en cours d'exécution. En tirant parti des tags d’événement, vous pouvez tagger le déclencheur de fichier journal sous la forme Statut:KO, tandis que vous taggez le déclencheur d’interrogation comme Statut:OK. Ensuite, dans une règle de corrélation globale, vous pouvez associer ces déclencheurs et affecter une opération appropriée à cette corrélation, telle que la fermeture des anciens événements.

Dans un autre usage, la corrélation globale peut identifier des déclencheurs similaires et leur appliquer la même opération. Et si nous ne pouvions obtenir qu'un seul rapport de problème par problème de port réseau ? Pas besoin de les signaler tous. Cela est également possible avec la corrélation globale des événements.

La corrélation globale des événements est configurée dans des règles de corrélation. Une règle de corrélation définit la manière dont les nouveaux événements problématiques sont associés aux événements problématiques existants et la marche à suivre en cas de correspondance (fermez le nouvel événement, fermez les anciens événements correspondants en générant les événements OK correspondants). Si un problème est fermé par une corrélation globale, il est signalé dans la colonne Info dans SurveillanceProblèmes.

La configuration des règles de corrélation globales est uniquement disponible pour les utilisateurs Zabbix Super Admin.

La corrélation d'événements doit être configurée avec le plus grand soin, car elle peut affecter négativement les performances de traitement des événements ou, en cas de mauvaise configuration, fermer plus d'événements que prévu (dans le pire des cas, même tous les événements problématiques pourraient être fermés).

Pour configurer la corrélation globale en toute sécurité, observez les conseils importants suivants :

  • Réduire la portée de la corrélation. Définissez toujours un tag unique pour le nouvel événement associé aux anciens événements et utilisez la condition de corrélation Nouveau tag d'événement ;
  • Ajouter une condition basée sur l'ancien événement lors de l'utilisation de l'opération Fermer les anciens événements (sinon tous les problèmes existants pourraient être fermés) ;
  • Évitez d'utiliser des noms de tags communs qui pourraient être utilisés par différentes configurations de corrélation ;
  • Limitez le nombre de règles de corrélation à celles dont vous avez réellement besoin.

Voir aussi : problèmes connus.

Configuration

Pour configurer les règles de corrélation d'événements globalement :

  • Allez dans ConfigurationCorrélation d'événement
  • Cliquez sur Créer une corrélation en haut à droite (ou sur le nom de la corrélation pour éditer une règle existante)
  • Entrez les paramètres de la règle de corrélation dans le formulaire

Tous les champs de saisie obligatoires sont marqués d'un astérisque rouge.

Paramètre Description
Nom Nom unique de la règle de corrélation.
Type de calcul Les options de calcul des conditions suivantes sont disponibles :
Et - toutes les conditions doivent être remplies
Ou - suffisant si une condition est remplie
Et/Ou - ET avec différents types de conditions et OU avec le même type de condition
Personnaliser l'expression - une formule de calcul définie par l'utilisateur pour évaluer les conditions d'action. Il doit inclure toutes les conditions (représentées par les lettres majuscules A, B, C,…) et peut inclure des espaces, des tabulations, des parenthèses ( ) and (sensible à la casse) or (sensible à la casse), not (sensible à la casse).
Conditions Liste de conditions, sélectionnées dans le champ Nouvelle condition.
Nouvelle condition Sélectionnez les conditions de corrélation des événements et cliquez sur Ajouter.
Notez que si aucune condition d’ancien événement n’est spécifiée, tous les anciens événements peuvent être mis en correspondance et clôturés. De même, si aucune nouvelle condition d'événement n'est spécifiée, tous les nouveaux événements peuvent être mis en correspondance et clôturés.
Les conditions suivantes sont disponibles :
Ancien tag d'événement - spécifiez l'ancien tag d'événement pour la correspondance.
Nouveau tag d'événement - spécifiez le nouveau tag d'événement pour la correspondance.
Nouveau groupe d'hôte d'événement - spécifiez le nouveau groupe d’hôtes à associer.
Paire de tag d'événement - spécifiez un nouveau tag d'événement et un ancien tag d'événement pour la correspondance. Dans ce cas, il y aura une correspondance si les valeurs des tags dans les deux événements correspondent. Les noms de tags ne doivent pas nécessairement correspondre.
Cette option est utile pour faire correspondre les valeurs d'exécution, qui peuvent ne pas être connues au moment de la configuration (voir aussi Exemple 1).
Ancienne valeur du tag d'événement - spécifiez l'ancien nom et la valeur du tag d'événement à l'aide des opérateurs suivants :
égal - égal à l'ancienne valeur du tag d'événement
pas égal - n'a pas la même valeur de tag d'événement
contient - contient la chaîne spécifiée dans l'ancienne valeur de tag d'événement
ne contient pas - ne contient pas la chaîne spécifiée dans l'ancienne valeur de tag d'événement
Nouvelle valeur de tag d'événement - spécifiez le nom et la valeur du nouveau tag d'événement à l'aide des opérateurs suivants :
égal - égal à la nouvelle valeur du tag d'événement
pas égal - n'a pas la même valeur du nouveau tag d'événement
contient - contient la chaîne spécifiée dans la nouvelle valeur de tag d'événement
ne contient pas - ne contient pas la chaîne spécifiée dans la nouvelle valeur de tag d'événement
Description Description de la règle de corrélation.
Activé Si vous cochez cette case, la règle de corrélation sera activée.
  • Sélectionnez l'opération de la règle de corrélation dans le formulaire

Paramètre Description
Opérations Liste des opérations, sélectionnée dans le champ Nouvelle opération.
Nouvelle opération Sélectionnez l'opération à effectuer lorsque l'événement est corrélé et cliquez sur Ajouter. Les opérations suivantes sont disponibles :
Fermer les anciens événements - ferme les anciens événements lorsqu'un nouvel événement se produit. Ajoutez toujours une condition basée sur l'ancien événement lors de l'utilisation de l'opération Fermer les anciens événements, sinon tous les problèmes existants pourraient être fermés.
Fermer le nouvel événement - ferme le nouvel événement quand il se produit

Parce qu'une mauvaise configuration est possible, lorsque des tags d'événement similaires peuvent être créées pour des problèmes sans rapport, veuillez consulter les cas décrits ci-dessous !

  • Les tags et les valeurs de tags ne sont visibles que lorsqu'un déclencheur est activé. Si l'expression régulière utilisée n'est pas valide, elle est remplacée silencieusement par une chaîne *INCONNUE*. Si l'événement problème initial avec une valeur de tag *INCONNUE* est manquant, des événements OK subséquents peuvent apparaître avec la même valeur de tag *INCONNUE*, ce qui peut fermer les événements problème qu'ils n'auraient pas dû fermer.
  • Si un utilisateur utilise la macro {ITEM.VALUE} sans fonctions de macro comme valeur de tag, la limitation à 255 caractères s'applique. Lorsque les messages de fichiers journaux sont longs et que les 255 premiers caractères sont non spécifiques, des tags d'événement similaires peuvent également être associées à des problèmes non liés.

Exemples

Exemple 1

Arrêtez les événements problématiques répétitifs du même port réseau.

Cette règle de corrélation globale mettra en corrélation les problèmes si les valeurs des tags Host et Port existent sur le déclencheur et qu'elles sont identiques dans l'événement d'origine et le nouvel événement.

Cette opération fermera les nouveaux événements problème sur le même port réseau, en ne laissant que le problème initial ouvert.