1 Trigger-alapú eseménykorreláció

Áttekintés

A trigger alapú eseménykorreláció lehetővé teszi különálló problémák korrelációját egy trigger jelentette.

Míg általában egy OK esemény lezárhatja az összes általa létrehozott problémás eseményt kiváltó, vannak esetek, amikor részletesebb megközelítésre van szükség. Mert például naplófájlok figyelésekor érdemes lehet bizonyos problémákat egy naplófájlban, és zárja be őket egyenként, nem pedig az összeset együtt.

Ez a helyzet azoknál a triggereknél, amelyeknél Multiple Problem Event van Generáció engedélyezve. Az ilyen triggereket általában naplófigyelésre használják, csapdafeldolgozás stb.

A Zabbix-ban lehetőség van a problémaeseményeket összefüggésbe hozni címkézés. A címkék az értékek kinyerésére szolgálnak és azonosítás létrehozása a problémás eseményekhez. Ezt kihasználva, A problémák egyenként is lezárhatók a megfelelő címke alapján.

Más szavakkal, ugyanaz a trigger külön azonosított eseményeket hozhat létre az eseménycímkével. Ezért a problémás események egyenként azonosíthatók és az eseménycímke általi azonosítás alapján külön zárva.

Hogyan működik

A naplófigyelés során az alábbiakhoz hasonló sorokkal találkozhat:

1. sor: Az 1. alkalmazás leállt
       2. sor: A 2. alkalmazás leállt
       3. sor: Az 1. alkalmazás újraindult
       4. sor: A 2. alkalmazás újraindult

Az eseménykorreláció gondolata az, hogy össze tudjuk illeszteni a problémás eseményt a Line1-től a Line3-ból a megoldásig és a Line2-ből a problémaeseményig a Line4 felbontásához, és zárja be ezeket a problémákat egyenként:

1. sor: Az 1. alkalmazás leállt
       3. sor: Az 1. alkalmazás újraindult #problem from Line 1 lezárva
       
       2. sor: A 2. alkalmazás leállt
       4. sor: A 2. alkalmazás újraindult #problem from Line 2 lezárva

Ehhez meg kell jelölnie ezeket a kapcsolódó eseményeket, például „1. alkalmazás” és „2. alkalmazás”. Ez megtehető az a reguláris kifejezést a naplósorba a címke értékének kinyeréséhez. Akkor mikor események jönnek létre, amelyek "1. alkalmazás" és "2. alkalmazás" címkével vannak ellátva illetve probléma illeszthető a felbontáshoz.

Konfiguráció

Tétel

Először érdemes lehet beállítani egy elemet, amely figyeli a naplófájlt, például:

log[/var/log/syslog]

Miután beállította az elemet, várjon egy percet, amíg a konfiguráció módosítása megtörténik felvette, majd lépjen a Legújabb data a győződjön meg arról, hogy az elem megkezdte az adatgyűjtést.

Trigger

Ha az elem működik, konfigurálnia kell a trigger. Fontos dönteni a naplófájl mely bejegyzéseire érdemes odafigyelni. Például, a következő trigger kifejezés egy karakterláncot fog keresni „Leállítás” a lehetséges problémák jelzésére:

find(/My host/log[/var/log/syslog],"regexp","Stopping")=1

Ezután definiáljon egy helyreállítási kifejezést. A következő helyreállítási kifejezés minden problémát megold, ha egy naplósor található, amely tartalmazza a karakterláncot "Kezdés":

find(/My host/log[/var/log/syslog],"regexp","Starting")=1

Mivel ezt nem akarjuk, fontos, hogy valahogy megbizonyosodjunk arról, hogy a a megfelelő gyökérproblémák zárva vannak, nem csak az összes probléma. Ez az ahol a címkézés segíthet.

A problémák és a megoldások megfeleltethetők egy címke megadásával a trigger konfiguráció. A következő beállításokat kell elvégezni:

• Problémaesemény generálási mód: Több
• OK esemény bezárul: Minden probléma, ha a címkeértékek egyeznek
• Adja meg a címke nevét az eseményegyeztetéshez

• konfigurálja a címkéket a címkeértékek kivonásához rönkvonalakból

Sikeres konfigurálás esetén láthatja a problémás eseményeket felcímkézve alkalmazással és a Monitoring →-ben lévő felbontásukhoz illesztve Problémák.

• Két alkalmazás hiba- és helyreállítási üzeneteket ír a Ugyanabban a naplófájlban a felhasználó dönthet úgy, hogy két Application címkét használ a ugyanaz az aktiválási szabály különböző címkeértékekkel, külön szabályos használatával kifejezéseket a címkeértékekben, hogy kivonhassa például a A és B alkalmazás a {ITEM.VALUE} makróból (pl. ha az üzenetformátumok különböznek). Ez azonban nem biztos, hogy így működik tervezett, ha nincs egyezés a reguláris kifejezésekkel. A nem egyező reguláris kifejezések üres címkeértékeket és egyetlen üres címkeértéket adnak címke értéke mind a probléma, mind az OK eseményekben elegendő a korrelációhoz. Így az A alkalmazásból származó helyreállítási üzenet véletlenül bezárhat egy hibaüzenet a B alkalmazásból.

• A tényleges címkék és címkeértékek csak akkor válnak láthatóvá, ha aktiválódik. Ha a használt reguláris kifejezés érvénytelen, akkor csendben lecseréli *UNKNOWN* karakterlánccal. Ha a kezdeti problémás esemény egy Az *UNKNOWN* címke értéke kimaradt, előfordulhat, hogy ezt követően megjelenik az OK események azonos *UNKNOWN* címkeértékkel, amelyek lezárhatják a problémát események, amelyeket nem kellett volna lezárniuk.

• Ha egy felhasználó a(z) {ITEM.VALUE} makrót használja makrófüggvények nélkül címke értékét, a 255 karakteres korlátozás érvényes. Amikor naplóüzeneteket hosszúak, és az első 255 karakter nem specifikus, ez előfordulhat hasonló eseménycímkéket is eredményezhet a nem kapcsolódó problémákhoz.