Sidebar

Zabbix Summit 2022
Register for Zabbix Summit 2022

2 全局事件关联

概述

全局事件关联允许覆盖Zabbix监控的所有指标并创建关联性。

可以关联由完全不同的触发器创建的事件,并对它们应用相同的操作。 通过创建智能关联规则,实际上可以避免数以千计的重复通知,并专注于问题的根本原因!

全局事件关联是一种强大的机制,它可以让您从基于单个触发的问题和解决逻辑中解放。 迄今为止,单个问题事件是由一个触发器创建的,我们依赖于相同的问题解决触发器。 我们无法用另一个触发器解决一个触发器创建的问题。 但是基于事件标记的事件关联,我们可以。

例如,一个日志触发器可以报告应用程序问题,同时有一个轮询触发器可以报告应用程序启动并运行。 利用事件标记,您可以将日志触发器标记为 状态:Down ,而将轮询触发器标记为 状态:Up。 然后,在全局关联规则中,您可以关联这些触发器并为此关联分配适当的操作,例如关闭旧事件。

在另一种用途中,全局关联可以识别类似的触发器并对它们应用相同的操作。 如果我们每个网络端口问题都会发布获得一个问题报告怎么办? 想要不需要全部的问题报告。通过全局事件关联也是能够实现的。

全局事件关联在 关联规则 中配置。 关联规则定义新问题事件如何与现有问题事件配对以及在匹配情况下要执行的操作(关闭新事件,通过生成相应的恢复事件来关闭匹配的旧事件)。 如果问题被全局关联关闭,则会在 监控 - > 问题消息 列中报告。

配置全局关联规则仅适用于Zabbix超级管理员级别用户。

必须非常仔细地配置事件关联,因为它会对事件处理性能产生负面影响,或者如果配置错误,会关闭比预期更多的事件(在最坏的情况下,甚至可以关闭所有问题事件)。

安全地 配置全局关联,请遵循以下重要提示:

  • 减少相关范围。 始终为与旧事件配对的新事件设置唯一标记,并使用 新事件标记 关联条件
  • 使用 关闭旧事件 操作时,根据旧事件添加条件(或者可以关闭所有现有问题)
  • 避免使用可能最终被不同关联配置使用的常见标记名称
  • 保持关联规则的数量仅限于您真正需要的数量

可参考: 已知问题

配置

要全局配置事件关联规则:

  • 打开 配置事件关联
  • 单击右侧 创建相关性 (点击现有规则的名称打开编辑)
  • 在表单中输入关联规则的参数

correlation_rule0.png

所有必填输入字段都标有红色星号。

参数 描
名称 的关联规则名。
计算类型 可以使 以下计算条件选项:
- 必须满足所有条件
- 如果满足一个条件就足够了
和 /或 - 具有不同条件类型的AND和具有相同条件类型的OR
自定义表达式 - 用于评估操作条件的用户定义计算公式。 它必须包括所有条件(表示为大写字母A,B,C,...),可能包括空格,制表符,括号(),(区分大小写),(区分大小写) , (区分大小写)。
条件 列表。详情见下方的条件配置。
说明 规则说明。
已启用 如果 中此复选框,则将启用关联规则。

要配置一个新条件的细节,请点击条件框中的按钮 。请在打开弹出窗配置条件。

参数 描
新条件 设置 条关联事件的条件。
注意 如果没有指定旧事件条件,所有匹配的旧事件将全部被关闭。同样的,如果没有指定新事件条件,所有匹配的新事件将全部被关闭。
以下条件可选
旧事件标签 - 指定匹配的旧事件标签。
新事件标签 - 指定匹配的新事件标签。
新事件主机组 - 指定匹配的新事件主机组。
事件标签对 - 同时指定匹配新事件标签和旧事件标签的值。
这条规则将同时匹配新、旧事件标签的 ,标签的 名称 不需要匹配。
这个选项对那些无法在配置时确定的情况,转而匹配运行时的值,非常有用。(参见 示例 1)
旧事件标签值 - 指定匹配旧事件标签的值。可用以下操作:
等于 - 设定的字符串与旧事件标签值匹配
不等于 - 设定的字符串与旧事件标签值不匹配
包含 - 旧事件标签值中包含设定的字符串
不包含 - 旧事件标签值中不包含设定的字符串
新事件标签值 - 指定匹配新事件标签的值。可用以下操作:
等于 - 设定的字符串与新事件标签值匹配
不等于 - 设定的字符串与新事件标签值不匹配
包含 - 新事件标签值中包含设定的字符串
不包含 - 新事件标签值中不包含设定的字符串
  • 在表单中选择关联规则的操作

参数 描
操作 新操作*框选中选择的操作列表
新操作 选择 事件关联时执行的操作,然后单击添加。 可以使用以下操作:
关闭旧事件 - 在发生新事件时关闭旧事件。 使用 关闭旧事件 操作时,始终根据旧事件添加条件,或者可以关闭所有现有问题。
关闭新事件 - 当事件发生时关闭新事件

由于配置错误,可能会为 无关 问题创建类似的事件标记,请查看下面列出的案例!

  • 实际标记和标记值仅在触发器触发时可见。 如果使用的正则表达式无效,则使用* UNKNOWN *字符串静默替换它。 如果错过了具有* UNKNOWN *标记值的初始问题事件,则可能会出现具有相同* UNKNOWN *标记值的后续OK事件,这些事件可能会关闭它们不应关闭的问题事件。
  • 如果用户使用不带宏函数的{ITEM.VALUE}宏作为标记值,则有255个字符的限制。 当日志消息很长并且前255个字符是非特定的时,这也可能导致类似的事件标记用于不相关的问题。

示例

示例1

停止来自同一网络端口的重复问题事件。

如果触发器上存在 HostPort 标签,并且它们在原始事件和新事件中相同,则此全局关联规则将关联问题。

此操作将关闭同一网络端口上的新问题事件,仅保持原始问题打开。