2 Globale Ereigniskorrelation
Übersicht
Die globale Ereigniskorrelation ermöglicht es, über alle von Zabbix überwachten Metriken hinweg Korrelationen zu erstellen.
Es ist möglich, Ereignisse zu korrelieren, die von völlig unterschiedlichen Auslösern erstellt wurden, und auf sie alle dieselben Operationen anzuwenden. Durch das Erstellen intelligenter Korrelationsregeln können Sie sich tatsächlich Tausende sich wiederholender Benachrichtigungen ersparen und sich auf die eigentlichen Ursachen eines Problems konzentrieren!
Die globale Ereigniskorrelation ist ein leistungsfähiger Mechanismus, der es Ihnen ermöglicht, sich von einer problem- und lösungslogik zu lösen, die auf einem einzelnen Auslöser basiert. Bisher wurde ein einzelnes Problemereignis von einem Auslöser erstellt, und wir waren für die Problemlösung von genau diesem Auslöser abhängig. Wir konnten ein von einem Auslöser erzeugtes Problem nicht mit einem anderen Auslöser lösen. Mit einer auf Ereignis-Tags basierenden Ereigniskorrelation ist dies jedoch möglich.
Beispielsweise kann ein Log-Auslöser Anwendungsprobleme melden, während ein Polling-Auslöser meldet, dass die Anwendung betriebsbereit ist. Unter Nutzung von Ereignis-Tags können Sie den Log-Auslöser mit status:down taggen und den Polling-Auslöser mit status:up. Anschließend können Sie diese Auslöser in einer globalen Korrelationsregel miteinander verknüpfen und dieser Korrelation eine passende Operation zuweisen, etwa das Schließen alter Ereignisse.
In einem anderen Anwendungsfall kann die globale Korrelation ähnliche Auslöser identifizieren und dieselbe Operation auf sie anwenden. Was wäre, wenn wir nur eine einzige Problemmeldung pro Netzwerkportproblem erhalten könnten? Es ist nicht nötig, sie alle zu melden. Auch das ist mit der globalen Ereigniskorrelation möglich.
Die globale Ereigniskorrelation wird in Korrelationsregeln konfiguriert. Eine Korrelationsregel definiert, wie neue Problemereignisse mit bestehenden Problemereignissen verknüpft werden und was im Falle einer Übereinstimmung zu tun ist (das neue Ereignis schließen, übereinstimmende alte Ereignisse durch Erzeugen entsprechender OK-Ereignisse schließen). Wenn ein Problem durch globale Korrelation geschlossen wird, wird dies in der Spalte Info unter Monitoring > Problems angezeigt.
Die Konfiguration globaler Korrelationsregeln ist nur für Benutzer mit der Berechtigungsstufe Super Admin verfügbar.
Die Ereigniskorrelation muss sehr sorgfältig konfiguriert werden, da sie die Leistung der Ereignisverarbeitung negativ beeinflussen oder bei Fehlkonfiguration mehr Ereignisse schließen kann als beabsichtigt (im schlimmsten Fall könnten sogar alle Problemereignisse geschlossen werden).
Um die globale Korrelation sicher zu konfigurieren, beachten Sie die folgenden wichtigen Hinweise:
- Begrenzen Sie den Korrelationsumfang. Setzen Sie immer ein eindeutiges Tag für das neue Ereignis, das mit alten Ereignissen verknüpft wird, und verwenden Sie die Korrelationsbedingung New event tag name.
- Fügen Sie bei Verwendung von Close old events eine explizite Bedingung für alte Ereignisse hinzu. Fügen Sie immer mindestens eine Bedingung für Old event hinzu (zum Beispiel Old event tag name, Old event tag value oder Event tag pair), wenn Sie Close old events auswählen — andernfalls kann die Regel übereinstimmen und nicht zusammenhängende bestehende Problemereignisse schließen (im schlimmsten Fall alle Probleme). Bevorzugen Sie Event tag pair für den Abgleich von Laufzeitwerten (host:port, session id usw.) und grenzen Sie die Übereinstimmung nach Möglichkeit zusätzlich nach Host oder Hostgruppe ein.
- Vermeiden Sie die Verwendung allgemeiner Tag-Namen, die möglicherweise in verschiedenen Korrelationskonfigurationen verwendet werden.
- Halten Sie die Anzahl der Korrelationsregeln auf die wirklich benötigten Regeln beschränkt.
Siehe auch: bekannte Probleme.
Konfiguration
Um Ereigniskorrelationsregeln global zu konfigurieren:
- Gehen Sie zu Data collection > Event correlation
- Klicken Sie rechts auf Create event correlation (oder auf den Korrelationsnamen, um eine vorhandene Regel zu bearbeiten)
- Geben Sie die Parameter der Korrelationsregel im Formular ein
Alle Pflichtfelder sind mit einem roten Sternchen markiert.
| Parameter | Beschreibung |
|---|---|
| Name | Eindeutiger Name der Korrelationsregel. |
| Type of calculation | Die folgenden Optionen zur Berechnung von Bedingungen sind verfügbar: And - alle Bedingungen müssen erfüllt sein Or - es reicht aus, wenn eine Bedingung erfüllt ist And/Or - AND bei unterschiedlichen Bedingungstypen und OR bei gleichen Bedingungstypen Custom expression - eine benutzerdefinierte Berechnungsformel zur Auswertung von Aktionsbedingungen. Sie muss alle Bedingungen enthalten (dargestellt durch Großbuchstaben A, B, C, ...) und darf Leerzeichen, Tabulatoren, Klammern ( ), and (Groß-/Kleinschreibung beachten), or (Groß-/Kleinschreibung beachten), not (Groß-/Kleinschreibung beachten) enthalten. |
| Conditions | Liste der Bedingungen. Weitere Details zur Konfiguration einer Bedingung siehe unten. |
| Description | Beschreibung der Korrelationsregel. |
| Operations | Markieren Sie das Kontrollkästchen der auszuführenden Operation, wenn ein Ereignis korreliert wird. Die folgenden Operationen sind verfügbar: Close old events - schließt alte Ereignisse, wenn ein neues Ereignis auftritt. Fügen Sie bei Verwendung der Operation Close old events immer eine Bedingung auf Basis des alten Ereignisses hinzu, da sonst alle vorhandenen Probleme geschlossen werden könnten. Close new event - schließt das neue Ereignis, wenn es auftritt. Warnung! Lassen Sie bei Verwendung von Close old events/Close new event die Bedingungen für alte/neue Ereignisse nicht leer. Wenn Sie die Operation Close old events auswählen, ohne eine Bedingung hinzuzufügen, die dem alten Ereignis entspricht, kann Zabbix alle vorhandenen alten Ereignisse zuordnen und schließen. Fügen Sie bei Verwendung von Close old events immer eine explizite Bedingung für das alte Ereignis hinzu (z. B. Old event tag name oder Event tag pair). Eine Regel, die nur eine New event condition und die Operation Close old events verwendet, ordnet beispielsweise alle alten Ereignisse zu, die die (fehlenden) Kriterien für alte Ereignisse erfüllen - und schließt damit effektiv alte Probleme. |
| Enabled | Wenn Sie dieses Kontrollkästchen markieren, wird die Korrelationsregel aktiviert. |
Um Details für eine neue Bedingung zu konfigurieren, klicken Sie im Bereich Conditions auf 
.
Es öffnet sich ein Popup-Fenster, in dem Sie die Details der Bedingung bearbeiten können.
| Parameter | Beschreibung |
|---|---|
| New condition | Wählen Sie eine Bedingung für die Ereigniskorrelation aus. Hinweis: Wenn keine Bedingung für das alte Ereignis angegeben ist, können alle alten Ereignisse zugeordnet und geschlossen werden. Entsprechend können auch alle neuen Ereignisse zugeordnet und geschlossen werden, wenn keine Bedingung für das neue Ereignis angegeben ist. Die folgenden Bedingungen sind verfügbar: Old event tag name - geben Sie den Namen des alten Ereignis-Tags für die Zuordnung an. New event tag name - geben Sie den Namen des neuen Ereignis-Tags für die Zuordnung an. New event host group - geben Sie die Hostgruppe des neuen Ereignisses für die Zuordnung an. Event tag pair - geben Sie den Namen des neuen Ereignis-Tags und den Namen des alten Ereignis-Tags für die Zuordnung an. In diesem Fall liegt eine Übereinstimmung vor, wenn die Werte der Tags in beiden Ereignissen übereinstimmen. Die Tag-Namen müssen nicht übereinstimmen. Diese Option ist nützlich, um Laufzeitwerte abzugleichen, die zum Zeitpunkt der Konfiguration möglicherweise noch nicht bekannt sind (siehe auch Beispiel). Old event tag value - geben Sie den Namen und den Wert des alten Ereignis-Tags für die Zuordnung an, unter Verwendung der folgenden Operatoren: equals - hat den Wert des alten Ereignis-Tags does not equal - hat nicht den Wert des alten Ereignis-Tags contains - enthält die Zeichenfolge im Wert des alten Ereignis-Tags does not contain - enthält die Zeichenfolge nicht im Wert des alten Ereignis-Tags New event tag value - geben Sie den Namen und den Wert des neuen Ereignis-Tags für die Zuordnung an, unter Verwendung der folgenden Operatoren: equals - hat den Wert des neuen Ereignis-Tags does not equal - hat nicht den Wert des neuen Ereignis-Tags contains - enthält die Zeichenfolge im Wert des neuen Ereignis-Tags does not contain - enthält die Zeichenfolge nicht im Wert des neuen Ereignis-Tags |
Da Fehlkonfigurationen möglich sind, wenn für nicht zusammenhängende Probleme ähnliche Ereignis-Tags erstellt werden können, prüfen Sie bitte die unten aufgeführten Fälle!
- Tatsächliche Tags und Tag-Werte werden erst sichtbar, wenn ein Auslöser auslöst. Wenn der verwendete reguläre Ausdruck ungültig ist, wird er stillschweigend durch die Zeichenfolge *UNKNOWN* ersetzt. Wenn das erste Problemereignis mit einem *UNKNOWN*-Tag-Wert übersehen wird, können nachfolgende OK-Ereignisse mit demselben *UNKNOWN*-Tag-Wert auftreten, die Problemereignisse schließen, die sie nicht hätten schließen sollen.
- Wenn ein Benutzer das Makro {ITEM.VALUE} ohne Makrofunktionen als Tag-Wert verwendet, gilt die Begrenzung auf 255 Zeichen. Wenn Protokollmeldungen lang sind und die ersten 255 Zeichen nicht aussagekräftig sind, kann dies ebenfalls zu ähnlichen Ereignis-Tags für nicht zusammenhängende Probleme führen.
Beispiel
Wiederholte Problemereignisse vom selben Netzwerkport stoppen.
Diese globale Korrelationsregel korreliert Probleme, wenn die Tag-Werte Host und port im Auslöser vorhanden sind und sie im ursprünglichen Ereignis und im neuen Ereignis identisch sind.
Die Operation schließt neue Problemereignisse am selben Netzwerkport, sodass nur das ursprüngliche Problem offen bleibt.