2 Correlación global de eventos
Resumen
La correlación global de eventos permite abarcar todas las métricas supervisadas por Zabbix y crear correlaciones.
Es posible correlacionar eventos creados por triggers completamente diferentes y aplicarles las mismas operaciones a todos. ¡Al crear reglas de correlación inteligentes, es posible ahorrarse miles de notificaciones repetitivas y centrarse en las causas raíz de un problema!
La correlación global de eventos es un mecanismo potente que le permite desvincularse de la lógica de problemas y resolución basada en un solo trigger. Hasta ahora, un único evento de problema era creado por un trigger y dependíamos de ese mismo trigger para la resolución del problema. No podíamos resolver un problema creado por un trigger con otro trigger. Pero con la correlación de eventos basada en el etiquetado de eventos, sí podemos.
Por ejemplo, un trigger de registro puede informar de problemas de la aplicación, mientras que un trigger de sondeo puede informar de que la aplicación está activa y en funcionamiento. Aprovechando las etiquetas de evento, puede etiquetar el trigger de registro como status:down y el trigger de sondeo como status:up. Luego, en una regla de correlación global, puede relacionar estos triggers y asignar una operación adecuada a esta correlación, como cerrar los eventos antiguos.
En otro caso, la correlación global puede identificar triggers similares y aplicarles la misma operación. ¿Qué pasaría si pudiéramos recibir solo un informe de problema por cada problema de puerto de red? No es necesario informarlos todos. Eso también es posible con la correlación global de eventos.
La correlación global de eventos se configura en reglas de correlación. Una regla de correlación define cómo se emparejan los nuevos eventos de problema con los eventos de problema existentes y qué hacer en caso de coincidencia (cerrar el evento nuevo, cerrar los eventos antiguos coincidentes generando los correspondientes eventos OK). Si un problema se cierra mediante correlación global, esto se informa en la columna Info de Monitoring > Problems.
La configuración de reglas de correlación global está disponible solo para usuarios con nivel Super Admin.
La correlación de eventos debe configurarse con mucho cuidado, ya que puede afectar negativamente al rendimiento del procesamiento de eventos o, si se configura incorrectamente, cerrar más eventos de los previstos (en el peor de los casos, incluso podrían cerrarse todos los eventos de problema).
Para configurar la correlación global de forma segura, tenga en cuenta los siguientes consejos importantes:
- Reduzca el alcance de la correlación. Establezca siempre una etiqueta única para el evento nuevo que se empareja con eventos antiguos y utilice la condición de correlación New event tag name.
- Añada una condición explícita de evento antiguo al usar Close old events. Añada siempre al menos una condición de Old event (por ejemplo, Old event tag name, Old event tag value o Event tag pair) al seleccionar Close old events; de lo contrario, la regla puede coincidir y cerrar eventos de problema existentes no relacionados (en el peor de los casos, todos los problemas). Prefiera Event tag pair para hacer coincidir valores en tiempo de ejecución (host:port, session id, etc.) y reduzca aún más la coincidencia por host o grupo de hosts cuando sea posible.
- Evite usar nombres de etiqueta comunes que puedan terminar siendo utilizados por diferentes configuraciones de correlación.
- Mantenga limitado el número de reglas de correlación a las que realmente necesite.
Vea también: problemas conocidos.
Configuración
Para configurar reglas de correlación de eventos globalmente:
- Vaya a Data collection > Event correlation
- Haga clic en Create event correlation a la derecha (o en el nombre de la correlación para editar una regla existente)
- Introduzca los parámetros de la regla de correlación en el formulario
Todos los campos de entrada obligatorios están marcados con un asterisco rojo.
| Parameter | Description |
|---|---|
| Name | Nombre único de la regla de correlación. |
| Type of calculation | Las siguientes opciones de cálculo de condiciones están disponibles: And - todas las condiciones deben cumplirse Or - basta con que se cumpla una condición And/Or - AND con distintos tipos de condición y OR con el mismo tipo de condición Custom expression - una fórmula de cálculo definida por el usuario para evaluar las condiciones de la acción. Debe incluir todas las condiciones (representadas por letras mayúsculas A, B, C, ...) y puede incluir espacios, tabulaciones, paréntesis ( ), and (sensible a mayúsculas y minúsculas), or (sensible a mayúsculas y minúsculas), not (sensible a mayúsculas y minúsculas). |
| Conditions | Lista de condiciones. Consulte más abajo los detalles sobre cómo configurar una condición. |
| Description | Descripción de la regla de correlación. |
| Operations | Marque la casilla de la operación que se realizará cuando el evento se correlacione. Las siguientes operaciones están disponibles: Close old events - cerrar eventos antiguos cuando ocurre un evento nuevo. Añada siempre una condición basada en el evento antiguo al usar la operación Close old events o podrían cerrarse todos los problemas existentes. Close new event - cerrar el evento nuevo cuando ocurra. Warning! No deje vacías las condiciones de evento antiguo/nuevo al usar Close old events/Close new event.Si selecciona la operación Close old events sin añadir una condición que coincida con el evento antiguo, Zabbix puede coincidir con todos los eventos antiguos existentes y cerrarlos.Añada siempre una condición explícita de evento antiguo (por ejemplo, Old event tag name o Event tag pair) al usar Close old events. Por ejemplo, una regla que use solo una New event condition y la operación Close old events coincidirá con todos los eventos antiguos que cumplan los criterios del evento antiguo (ausentes), cerrando en la práctica problemas antiguos. |
| Enabled | Si marca esta casilla, la regla de correlación se habilitará. |
Para configurar los detalles de una nueva condición, haga clic en 
en el bloque Conditions.
Se abrirá una ventana emergente donde podrá editar los detalles de la condición.
| Parameter | Description |
|---|---|
| New condition | Seleccione una condición para correlacionar eventos. Note que si no se especifica ninguna condición de evento antiguo, todos los eventos antiguos pueden coincidir y cerrarse. Del mismo modo, si no se especifica ninguna condición de evento nuevo, todos los eventos nuevos pueden coincidir y cerrarse. Las siguientes condiciones están disponibles: Old event tag name - especifique el nombre de la etiqueta del evento antiguo para la coincidencia. New event tag name - especifique el nombre de la etiqueta del evento nuevo para la coincidencia. New event host group - especifique el grupo de hosts del evento nuevo para la coincidencia. Event tag pair - especifique el nombre de la etiqueta del evento nuevo y el nombre de la etiqueta del evento antiguo para la coincidencia. En este caso habrá coincidencia si los valores de las etiquetas en ambos eventos coinciden. Los nombres de las etiquetas no tienen por qué coincidir. Esta opción es útil para coincidir valores en tiempo de ejecución, que pueden no conocerse en el momento de la configuración (consulte también Example). Old event tag value - especifique el nombre y el valor de la etiqueta del evento antiguo para la coincidencia, usando los siguientes operadores: equals - tiene el valor de la etiqueta del evento antiguo does not equal - no tiene el valor de la etiqueta del evento antiguo contains - contiene la cadena en el valor de la etiqueta del evento antiguo does not contain - no contiene la cadena en el valor de la etiqueta del evento antiguo New event tag value - especifique el nombre y el valor de la etiqueta del evento nuevo para la coincidencia, usando los siguientes operadores: equals - tiene el valor de la etiqueta del evento nuevo does not equal - no tiene el valor de la etiqueta del evento nuevo contains - contiene la cadena en el valor de la etiqueta del evento nuevo does not contain - no contiene la cadena en el valor de la etiqueta del evento nuevo |
Debido a que es posible una configuración incorrecta, cuando puedan crearse etiquetas de evento similares para problemas no relacionados, revise los casos descritos a continuación.
- Las etiquetas y los valores de etiqueta reales solo se vuelven visibles cuando se dispara un trigger. Si la expresión regular utilizada no es válida, se reemplaza silenciosamente por una cadena *UNKNOWN*. Si se omite el evento de problema inicial con un valor de etiqueta *UNKNOWN*, pueden aparecer posteriormente eventos OK con el mismo valor de etiqueta *UNKNOWN* que podrían cerrar eventos de problema que no deberían haberse cerrado.
- Si un usuario utiliza la macro {ITEM.VALUE} sin funciones de macro como valor de la etiqueta, se aplica la limitación de 255 caracteres. Cuando los mensajes de registro son largos y los primeros 255 caracteres no son específicos, esto también puede dar lugar a etiquetas de evento similares para problemas no relacionados.
Ejemplo
Detener eventos de problemas repetitivos desde el mismo puerto de red.
Esta regla de correlación global correlacionará problemas si los valores de las etiquetas host y port existen en el trigger y son los mismos en el evento original y en el nuevo.
La operación cerrará los nuevos eventos de problemas en el mismo puerto de red, manteniendo solo el problema original abierto.