2 全局事件关联
概述
全局事件关联允许跨越 Zabbix 监控的所有监控项进行关联。
可以将由完全不同的触发器创建的事件关联起来,并对它们全部应用相同的操作。 通过创建智能的关联规则,实际上可以让你摆脱成千上万条重复通知,专注于问题的根本原因!
全局事件关联是一种强大的机制,它使你不再受限于基于单个触发器的问题与恢复逻辑。 到目前为止,单个问题事件由一个触发器创建,而我们在问题恢复时也依赖于同一个触发器。 我们无法用另一个触发器来解决由某个触发器创建的问题。 但借助基于事件标签的事件关联,我们可以做到。
例如,日志触发器可能报告应用程序问题,而轮询触发器可能报告应用程序正在运行。 利用事件标签,你可以将日志触发器标记为 status:down,同时将轮询触发器标记为 status:up。 然后,在全局关联规则中,你可以将这些触发器关联起来,并为该关联分配适当的操作,例如关闭旧事件。
在另一种用法中,全局关联可以识别相似的触发器,并对它们应用相同的操作。 如果我们能针对网络端口问题每次只收到一条问题报告,会怎样?就不需要全部都报告了。 借助全局事件关联,这同样可以实现。
全局事件关联在 关联规则 中进行配置。 关联规则定义了新的问题事件如何与现有问题事件配对,以及匹配时要执行什么操作(关闭新事件,或通过生成相应的 OK 事件来关闭匹配到的旧事件)。 如果问题被全局关联关闭,它会在 监控 > 问题 的 Info 列中显示。
配置全局关联规则仅对超级管理员级别用户开放。
必须非常谨慎地配置事件关联,因为它可能会对事件处理性能产生负面影响;如果配置错误,还可能关闭比预期更多的事件(在最坏情况下,甚至可能关闭所有问题事件)。
要安全地配置全局关联,请注意以下重要提示:
- 缩小关联范围。 始终为要与旧事件配对的新事件设置唯一标签,并使用 新事件标签名称 关联条件。
- 在使用 关闭旧事件 时添加明确的旧事件条件。 在选择 关闭旧事件 时,始终至少添加一个 旧事件 条件(例如 旧事件标签名称、旧事件标签值 或 事件标签对)——否则该规则可能匹配并关闭无关的现有问题事件(在最坏情况下,甚至会关闭所有问题)。 对于匹配运行时值(主机:端口、会话 ID 等),优先使用 事件标签对,并在可能的情况下进一步通过主机或主机组缩小匹配范围。
- 避免使用可能会被不同关联配置共用的通用标签名称。
- 将关联规则数量控制在真正需要的范围内。
另请参见:已知问题。
配置
要全局配置事件关联规则:
- 转到 Data collection > Event correlation
- 点击右侧的 Create event correlation(或点击关联名称以编辑现有规则)
- 在表单中输入关联规则的参数
所有必填输入字段都用红色星号标记。
| Parameter | Description |
|---|---|
| Name | 唯一的关联规则名称。 |
| Type of calculation | 可用的条件计算选项如下: And - 必须满足所有条件 Or - 满足任一条件即可 And/Or - 不同条件类型之间使用 AND,相同条件类型之间使用 OR Custom expression - 用户自定义的计算公式,用于评估动作条件。它必须包含所有条件(以大写字母 A、B、C、... 表示),并且可以包含空格、制表符、括号 ( )、and(区分大小写)、or(区分大小写)、not(区分大小写)。 |
| Conditions | 条件列表。有关如何配置条件的详细信息,请参见下文。 |
| Description | 关联规则描述。 |
| Operations | 勾选在事件发生关联时要执行的操作。可用的操作如下: Close old events - 当新事件发生时关闭旧事件。使用 Close old events 操作时,始终要添加一个基于旧事件的条件,否则可能会关闭所有现有问题。 Close new event - 当新事件发生时关闭新事件。 Warning! 使用 Close old events/Close new event 时,不要将旧/新事件条件留空。如果在未添加与旧事件匹配的条件的情况下选择 Close old events 操作,Zabbix 可能会匹配所有现有旧事件并将其关闭。使用 Close old events 时,始终要添加明确的旧事件条件(例如,Old event tag name 或 Event tag pair)。例如,仅使用 New event condition 和 Close old events operation 的规则将匹配所有满足(缺失的)旧事件条件的旧事件——实际上会关闭旧问题。 |
| Enabled | 如果勾选此复选框,将启用该关联规则。 |
要配置新条件的详细信息,请在 Conditions 区块中点击 
。
将打开一个弹出窗口,您可以在其中编辑条件详细信息。
| Parameter | Description |
|---|---|
| New condition | 选择一个用于关联事件的条件。 注意:如果未指定旧事件条件,所有旧事件都可能被匹配并关闭。同样,如果未指定新事件条件,所有新事件都可能被匹配并关闭。 可用的条件如下: Old event tag name - 指定用于匹配的旧事件标签名称。 New event tag name - 指定用于匹配的新事件标签名称。 New event host group - 指定用于匹配的新事件主机组。 Event tag pair - 指定用于匹配的新事件标签名称和旧事件标签名称。在这种情况下,如果两个事件中标签的值匹配,则视为匹配。标签名称不必匹配。 此选项适用于匹配运行时值,这些值在配置时可能尚未知晓(另见 Example)。 Old event tag value - 使用以下运算符指定用于匹配的旧事件标签名称和值: equals - 具有旧事件标签值 does not equal - 不具有旧事件标签值 contains - 旧事件标签值中包含该字符串 does not contain - 旧事件标签值中不包含该字符串 New event tag value - 使用以下运算符指定用于匹配的新事件标签名称和值: equals - 具有新事件标签值 does not equal - 不具有新事件标签值 contains - 新事件标签值中包含该字符串 does not contain - 新事件标签值中不包含该字符串 |
由于可能存在配置错误,当类似的事件标签可能会为无关问题创建时,请务必检查下面列出的情况!
- 实际标签和标签值只有在触发器触发时才会显示。 如果所使用的正则表达式无效,它会被静默替换为 *UNKNOWN* 字符串。 如果带有 *UNKNOWN* 标签值的初始问题事件被遗漏,后续可能会出现具有相同 *UNKNOWN* 标签值的 OK 事件,从而关闭本不应被关闭的问题事件。
- 如果用户将 {ITEM.VALUE} 宏不带宏函数作为标签值,则适用 255 个字符的限制。 当日志消息很长且前 255 个字符缺乏特异性时,这也可能导致无关问题出现相似的事件标签。
示例
阻止来自同一网络端口的重复问题事件。
如果 host 和 port 标签值存在于触发器中,并且它们在原始事件和新事件中相同,则此全局关联规则将对问题进行关联。
该操作将关闭同一网络端口上的新问题事件,仅保留原始问题处于打开状态。