Documentation
Table of Contents
2 Global event correlation
Overzicht
Globale gebeurtenis correlatie maakt het mogelijk om alle gemonitorde statistieken te bereiken door Zabbix en correlaties creëren.
Het is mogelijk om gebeurtenissen te correleren die zijn gemaakt door totaal verschillende triggers en dezelfde bewerkingen op ze allemaal toe te passen. Door het maken van intelligente correlatieregels is het echt mogelijk om jezelf te redden van duizenden herhaalde meldingen en te focussen op de hoofdoorzaken van een probleem!
Globale gebeurtenis correlatie is een krachtig mechanisme waarmee uzelf los maakt van de op één trigger gebaseerde probleem- en oplossingslogica. Dus tot nu toe werd een enkele probleemgebeurtenis gecreëerd door één trigger en we waren afhankelijk van diezelfde trigger voor de probleemoplossing. Wij konden niet een probleem dat door de ene trigger is veroorzaakt, met een andere trigger oplossen. Maar met gebeurtenis correlatie op basis van gebeurtenis tagging kunnen we dat wel.
Een log-trigger kan bijvoorbeeld toepassing problemen melden, terwijl een polling-trigger kan melden dat de toepassing actief is. Met het voordeel van event-tags kunt u de log-trigger taggen als Status: Down terwijl tag de polling-trigger als Status: Up. Dan, in een globale correlatieregel kunt u deze triggers relateren en een geschikte bewerking op deze correlatie uitvoeren, zoals het sluiten van de oude gebeurtenissen.
Bij een ander gebruik kan globale correlatie soortgelijke triggers identificeren en dezelfde bewerking op hen toepassen. Wat als we maar één probleem zouden kunnen krijgen? per netwerkpoort probleem rapporteren? U hoeft ze niet allemaal te melden. Dat is ook mogelijk met globale gebeurtenis correlatie.
Globale gebeurtenis correlatie wordt geconfigureerd in correlatieregels. EEN correlatieregel definieert hoe de nieuwe probleemgebeurtenissen worden gekoppeld aan bestaande probleemgebeurtenissen en wat te doen bij een match (sluit de nieuwe gebeurtenis, sluit overeenkomende oude gebeurtenissen af door overeenkomstige OK gebeurtenissen te genereren). Als een probleem wordt opgelost door globale correlatie, wordt dit gerapporteerd in de Info kolom van Monitoring → Problemen.
Het configureren van algemene correlatieregels is beschikbaar op het niveau van hoofdbeheerder alleen gebruikers.
Gebeurtenis correlatie moet zeer worden geconfigureerd zorgvuldig, omdat het de verwerkingsprestaties van gebeurtenissen negatief kan beïnvloeden of, indien verkeerd geconfigureerd, sluit meer gebeurtenissen dan was bedoeld (in het ergste geval zelfs alle probleemgebeurtenissen kunnen worden gesloten).
Volg het volgende om globale correlatie veilig te configureren: belangrijke tips:
- Verminder het correlatiebereik. Stel altijd een unieke tag in voor de nieuwe evenement dat is gekoppeld aan oude evenementen en gebruik de Nieuwe event tag correlatieconditie;
- Voeg een voorwaarde toe op basis van de oude gebeurtenis bij gebruik van de Close old event operatie (anders kunnen alle bestaande problemen worden gesloten);
- Vermijd het gebruik van algemene tagn amen die mogelijk door verschillende worden gebruikt correlatieconfiguraties;
- Houd het aantal correlatieregels beperkt tot degene die u echt nodig heeft.
Zie ook: bekend problemen.
Configuratie
Om wereldwijd regels voor gebeurteniscorrelatie te configureren:
- Ga naar Gegevensverzameling → Gebeurteniscorrelatie
- Klik aan de rechterkant op Correlatie maken (of op de correlatienaam om een bestaande regel te bewerken)
- Voer parameters van de correlatieregel in het formulier in
Alle verplichte invoervelden zijn gemarkeerd met een rode asterisk.
| Parameter | Beschrijving |
|---|---|
| Naam | Unieke naam voor de correlatieregel. |
| Type berekening | De volgende opties voor het berekenen van voorwaarden zijn beschikbaar: En - alle voorwaarden moeten worden voldaan Of - één voorwaarde is voldoende En/Of - EN met verschillende voorwaardetypes en OF met hetzelfde voorwaardetype Aangepaste expressie - een door de gebruiker gedefinieerde berekeningsformule voor het evalueren van actievoorwaarden. Het moet alle voorwaarden bevatten (weergegeven als hoofdletters A, B, C, ...) en kan spaties, tabs, haakjes ( ), en (hoofdlettergevoelig), of (hoofdlettergevoelig), not (hoofdlettergevoelig) bevatten. |
| Voorwaarden | Lijst van voorwaarden. Zie hieronder voor details over het configureren van een voorwaarde. |
| Beschrijving | Beschrijving van de correlatieregel. |
| Bewerkingen | Markeer het selectievakje van de bewerking die moet worden uitgevoerd wanneer een gebeurtenis wordt gecorreleerd. De volgende bewerkingen zijn beschikbaar: Oude gebeurtenissen sluiten - oude gebeurtenissen sluiten wanneer er een nieuwe gebeurtenis plaatsvindt. Voeg altijd een voorwaarde toe op basis van de oude gebeurtenis wanneer de Oude gebeurtenissen sluiten bewerking wordt gebruikt, anders kunnen alle bestaande problemen worden gesloten. Nieuwe gebeurtenis sluiten - de nieuwe gebeurtenis sluiten wanneer deze plaatsvindt |
| Ingeschakeld | Als u dit selectievakje aanvinkt, wordt de correlatieregel ingeschakeld. |
Om details van een nieuwe voorwaarde te configureren, klikt u op 
in het blok Voorwaarden. Er wordt een popup-venster geopend waarin u de details van de voorwaarde kunt bewerken.
| Parameter | Beschrijving |
|---|---|
| Nieuwe voorwaarde | Selecteer een voorwaarde voor het correleren van gebeurtenissen. Opmerking dat als er geen voorwaarde voor de oude gebeurtenis is opgegeven, alle oude gebeurtenissen kunnen overeenkomen en worden gesloten. Evenzo, als er geen voorwaarde voor de nieuwe gebeurtenis is opgegeven, kunnen alle nieuwe gebeurtenissen overeenkomen en worden gesloten. De volgende voorwaarden zijn beschikbaar: Oude gebeurtenistag - specificeer de oude gebeurtenistag voor overeenkomst. Nieuwe gebeurtenistag - specificeer de nieuwe gebeurtenistag voor overeenkomst. Nieuwe gebeurtenishostgroep - specificeer de nieuwe gebeurtenishostgroep voor overeenkomst. Gebeurtenistagpaar - specificeer de nieuwe gebeurtenistag en de oude gebeurtenistag voor overeenkomst. In dit geval is er een overeenkomst als de waarden van de tags in beide gebeurtenissen overeenkomen. De tag-namen hoeven niet overeen te komen. Deze optie is nuttig voor het matchen van runtime-waarden, die mogelijk niet bekend zijn op het moment van configuratie (zie ook Voorbeeld 1). Oude gebeurtenistagwaarde - specificeer de naam en waarde van de oude gebeurtenistag voor overeenkomst, met behulp van de volgende operatoren: is gelijk aan - heeft de oude gebeurtenistagwaarde is niet gelijk aan - heeft niet de oude gebeurtenistagwaarde bevat - heeft de string in de oude gebeurtenistagwaarde bevat niet - heeft de string niet in de oude gebeurtenistagwaarde Nieuwe gebeurtenistagwaarde - specificeer de naam en waarde van de nieuwe gebeurtenistag voor overeenkomst, met behulp van vergelijkbare operatoren. |
Omdat foutconfiguratie mogelijk is, wanneer vergelijkbare gebeurtenistags mogelijk zijn voor niet-gerelateerde problemen, bekijk dan de hieronder beschreven gevallen!
- Werkelijke tags en tagwaarden worden pas zichtbaar wanneer een trigger wordt geactiveerd. Als de gebruikte reguliere expressie ongeldig is, wordt deze stilzwijgend vervangen door een string *ONBEKEND*. Als de oorspronkelijke probleemgebeurtenis met een *ONBEKEND* tagwaarde ontbreekt, kunnen er volgende OK-gebeurtenissen verschijnen met dezelfde *ONBEKEND* tagwaarde die problemen kan sluiten die niet gesloten hadden moeten worden.
- Als een gebruiker de {ITEM.VALUE} macro gebruikt zonder macrofuncties als tag de tagwaarde, geldt de limiet van 255 tekens. Wanneer logberichten lang zijn en de eerste 255 tekens niet specifiek zijn, kan dit ook resulteren in vergelijkbare gebeurtenistags voor niet-gerelateerde problemen.
Voorbeeld
Stop herhaalde probleemgebeurtenissen van dezelfde netwerkpoort.
Deze wereldwijde correlatieregel zal problemen correleren als de tagwaarden Host en Port aanwezig zijn in de trigger en ze hetzelfde zijn in de oorspronkelijke gebeurtenis en de nieuwe gebeurtenis.
De bewerking zal nieuwe probleemgebeurtenissen op dezelfde netwerkpoort sluiten, waarbij alleen het oorspronkelijke probleem open blijft.