2 全局事件关联

概述

全局事件关联功能允许跨越Zabbix监控的所有指标和create关联进行分析。

该功能可以关联由完全不同的触发器创建的事件,并对它们应用相同的操作。通过创建智能的关联规则,实际上可以避免数千条重复通知,专注于问题的根本原因!

全局事件关联是一个强大的机制,使您能够摆脱基于单一触发器的问题和解决逻辑。在此之前,单个问题事件由一个触发器创建,我们也依赖同一个触发器来解决问题。我们无法用一个触发器解决另一个触发器创建的问题。但基于事件标记的事件关联功能使之成为可能。

例如,日志触发器可能报告应用程序问题,而轮询触发器可能报告应用程序正常运行。利用事件标记功能,您可以将日志触发器标记为status:down,同时将轮询触发器标记为status:up。然后,在全局关联规则中,您可以关联这些触发器并为此关联分配适当的操作,例如关闭旧事件。

另一个应用场景是,全局关联可以识别相似的触发器并对它们应用相同的操作。如果我们能get每个网络端口问题只报告一次呢?无需全部报告。这也可以通过全局事件关联实现。

全局事件关联通过关联规则进行配置。关联规则定义了新问题事件如何与现有问题事件配对,以及在匹配时执行什么操作(关闭新事件,通过生成相应的OK事件关闭匹配的旧事件)。如果问题被全局关联关闭,它会在监控 > 问题信息列中报告。

配置全局关联规则仅对超级管理员级别用户可用。

事件关联必须非常谨慎地配置,因为它可能对事件处理性能产生负面影响,或者如果配置错误,可能会关闭比预期更多的事件(在最坏情况下甚至可能关闭所有问题事件)。

为了安全地配置全局关联,请遵循以下重要提示:

  • 缩小关联范围。始终为新事件设置一个与旧事件配对的唯一标记,并使用新事件标记名称关联条件;

  • 在使用关闭旧事件操作时添加基于旧事件的条件(否则所有现有问题都可能被关闭);

  • 避免使用可能被不同关联配置使用的通用标记名称;

  • 将关联规则数量限制在真正需要的范围内

    need.

另请参阅:全局事件关联

配置

要全局配置事件关联规则:

  • 进入 数据采集 > 事件关联
  • 点击右侧的 创建事件关联(或点击关联名称以编辑现有规则)
  • 在表单中输入关联规则的参数

correlation_rule.png

所有必填输入字段均以红色星号标记。

参数 描述
Name 唯一的关联规则名称。
Type of calculation 提供以下条件计算选项:
And - 所有条件必须满足
Or - 满足其中一个条件即可
And/Or - 不同条件类型使用 AND,相同条件类型使用 OR
自定义表达式 - 用户定义的条件评估计算公式。公式必须包含所有条件(以大写字母 A、B、C 等表示),并可包含空格、制表符、括号 ( )、and(区分大小写)、or(区分大小写)、not(区分大小写)。
Conditions 条件列表。有关配置条件的详细信息,请参见下方。
Description 关联规则描述。
Operations 选中要执行的操作的复选框以在事件关联时执行。可用操作如下:
关闭旧事件 - 当新事件发生时关闭旧事件。使用 关闭旧事件 操作时,始终添加基于旧事件的条件,否则可能会关闭所有现有问题。
关闭新事件 - 当新事件发生时关闭该事件
Enabled 如果选中此复选框,关联规则将被启用。

要配置新条件的详细信息,请点击条件块中的 。将打开一个弹出窗口,您可以在其中编辑条件详细信息。

参数 描述
New condition 选择用于事件关联的条件。
注意:如果没有指定旧事件条件,可能会匹配并关闭所有旧事件。同样,如果没有指定新事件条件,可能会匹配并关闭所有新事件。
可用条件如下:
旧事件标签名称 - 指定用于匹配的旧事件标签名称。
新事件标签名称 - 指定用于匹配的新事件标签名称。
新事件 主机组 - 指定用于匹配的新事件 主机组。
事件标签对 - 指定新事件标签名称和旧事件标签名称用于匹配。在这种情况下,如果两个事件中的标签匹配,则视为匹配。标签名称无需匹配。
此选项适用于匹配运行时值,这些值在配置时可能未知(另请参见 示例)。
旧事件标签值 - 使用以下运算符指定旧事件标签名称和值用于匹配:
等于 - 具有指定的旧事件标签值
不等于 - 不具有指定的旧事件标签值
包含 - 在旧事件标签值中包含 string
不包含 - 在旧事件标签值中不包含 string
新事件标签值 - 使用以下运算符指定新事件标签名称和值用于匹配:
等于 - 具有指定的新事件标签值
不等于 - 不具有指定的新事件标签值
包含 - 在新事件标签值中包含 string
不包含 - 在新事件标签值中不包含 string

由于可能存在错误配置,当不相关问题可能创建类似事件标签时,请仔细查看以下列出的情况!

  • 实际标签和标签值仅在触发器触发时才可见。 如果使用的正则表达式无效,它将被静默替换为 *UNKNOWN* string。如果初始问题事件带有 *UNKNOWN* 标签值被遗漏,可能会出现后续的 OK 事件也带有相同的 *UNKNOWN* 标签值,从而错误地关闭不应关闭的问题事件。
  • 如果用户将 {ITEM.VALUE} 宏用作标签值而不使用宏函数,则适用 255 字符限制。当日志消息较长且前 255 个字符不具特异性时,也可能导致不相关问题生成类似的事件标签。

示例

阻止来自同一网络端口的重复问题事件。

如果触发器上存在主机port 标签值,并且它们在原始事件和新事件中相同,则此全局关联规则将对这些问题进行关联。

该操作将关闭同一网络端口上的新问题事件,仅保持原始问题处于打开状态。