2 全局事件关联
概述
全局事件关联功能允许跨越Zabbix监控的所有指标和create关联进行分析。
该功能可以关联由完全不同的触发器创建的事件,并对它们应用相同的操作。通过创建智能的关联规则,实际上可以避免数千条重复通知,从而聚焦于问题的根本原因!
全局事件关联是一种强大的机制,使您能够摆脱基于单一触发器的问题与解决逻辑。此前,单个问题事件由一个触发器创建,且我们依赖同一个触发器来解决问题。无法通过另一个触发器来解决由某个触发器创建的问题。但借助基于事件标记的关联机制,现在可以实现了。
例如,日志触发器可能报告应用程序问题,而轮询触发器可能报告应用程序正常运行。利用事件标记功能,您可以将日志触发器标记为Status: Down,同时将轮询触发器标记为Status: Up。然后,在全局关联规则中关联这些触发器,并为此关联分配适当的操作(如关闭旧事件)。
另一个应用场景是,全局关联可以识别相似的触发器并对它们应用相同操作。设想我们只需get每个网络端口问题的一个问题报告?无需全部上报。通过全局事件关联也能实现这一点。
全局事件关联通过关联规则进行配置。关联规则定义了新问题事件如何与现有问题事件配对,以及在匹配时执行的操作(关闭新事件/通过生成相应OK事件关闭匹配的旧事件)。若问题被全局关联关闭,该操作会显示在监控→问题的信息列中。
仅超级管理员用户可配置全局关联规则。
必须非常谨慎地配置事件关联,因为它可能对事件处理性能产生负面影响,或由于配置错误关闭超出预期数量的事件(最坏情况下甚至可能关闭所有问题事件)。
为安全配置全局关联,请遵循以下重要建议:
缩小关联范围。始终为新事件设置与旧事件配对的唯一标记,并使用新事件标记作为关联条件;
使用关闭旧事件操作时,添加基于旧事件的条件(否则可能关闭所有现有问题);
避免使用可能被不同关联配置误用的通用标记名称;
将关联规则数量限制在真正需要的范围内
need.
另请参阅:全局事件关联。
配置
全局配置事件关联规则:
- 前往配置 → 事件关联
- 点击右侧的创建关联(或点击关联名称编辑现有规则)
- 在表单中输入关联规则的参数
所有必填字段均以红色星号标记。
| 参数 | 描述 |
|---|---|
| Name | 唯一的关联规则名称。 |
| Type of calculation | 提供以下计算条件选项: 与 - 必须满足所有条件 或 - 只需满足一个条件 与/或 - 不同类型条件间使用AND,相同类型条件间使用OR 自定义表达式 - 用户定义的动作条件计算公式。必须包含所有条件(以大写字母A、B、C...表示),可包含空格、制表符、括号( )、and(区分大小写)、or(区分大小写)、not(区分大小写)。 |
| Conditions | 条件列表。详见下方条件配置说明。 |
| Description | 关联规则描述。 |
| Operations | 勾选事件关联时要执行的操作。可用操作包括: 关闭旧事件 - 当新事件发生时关闭旧事件。使用关闭旧事件操作时务必添加基于旧事件的条件,否则可能关闭所有现有问题。 关闭新事件 - 当新事件发生时关闭该事件 |
| Enabled | 勾选此复选框将启用关联规则。 |
要配置新条件的详细信息,请点击 
在条件 区块中。将弹出窗口供您编辑条件详情。
| 参数 | 描述 |
|---|---|
| New condition | 选择关联事件的条件。 注意:如果未指定旧事件条件,可能匹配并关闭所有旧事件。同样如果未指定新事件条件,可能匹配并关闭所有新事件。 可用条件包括: 旧事件标签 - 指定要匹配的旧事件标签。 新事件标签 - 指定要匹配的新事件标签。 新事件主机组 - 指定要匹配的新事件主机组。 事件标签对 - 指定要匹配的新旧事件标签。当两个事件中标签的值匹配时即视为匹配。标签名称不必相同。 此选项适用于匹配运行时值,这些值可能在配置时未知(另见示例)。 旧事件标签值 - 使用以下运算符指定要匹配的旧事件标签名称和值: 等于 - 具有旧事件标签值 不等于 - 不具有旧事件标签值 包含 - 在旧事件标签值中包含string 不包含 - 在旧事件标签值中不包含string 新事件标签值 - 使用以下运算符指定要匹配的新事件标签名称和值: 等于 - 具有新事件标签值 不等于 - 不具有新事件标签值 包含 - 在新事件标签值中包含string 不包含 - 在新事件标签值中不包含string |
由于可能存在配置错误,当为不相关问题创建相似事件标签时,请仔细检查以下情况!
实际标签和标签值仅在触发器触发时可见。
If the regular expression used is invalid, it is silently replaced with an *UNKNOWN* string. If the initial problem event with an *UNKNOWN* tag value is missed, there may appear subsequent OK events with the same *UNKNOWN* tag value that may close problem events which they shouldn't have closed.
- 如果用户使用{ITEM.VALUE}宏(不使用宏函数)作为标签值,将受到255字符限制。当日志消息较长且前255字符不具体时,也可能导致不相关问题产生相似事件标签。
示例
阻止来自同一网络端口的重复问题事件.
如果触发器上存在主机和 Port标签值且原始事件与新事件中的这些值相同, 此全局关联规则将关联问题.
该操作将关闭同一网络端口上的新问题事件, 仅保持原始问题处于开启状态.