2 全局事件关联

概览

全局事件关联使得Zabbix能够跨越所有被监控的指标,创建关联。

有可能将由完全不同的触发器创建的事件关联起来,并对它们全部应用相同的操作。通过创建智能关联规则,实际上可以避免成千上万的重复通知,专注于问题的根本原因!

全局事件关联是一个强大的机制,它允许你摆脱基于单一触发器的问题和解决逻辑。到目前为止,单一的问题事件由一个触发器创建,我们依赖于同一个触发器来解决问题。我们无法用另一个触发器来解决由一个触发器创建的问题。但是,通过基于事件标签的事件关联,我们就可以做到。

例如,一个日志触发器可能报告应用程序的问题,而一个轮询触发器可能报告应用程序运行正常。利用事件标签,你可以将日志触发器标记为状态:down,而将轮询触发器标记为状态:up。然后,在全局关联规则中,你可以关联这些触发器,并为这种关联分配一个适当的操作,例如关闭旧事件。

在另一种用途中,全局关联可以识别相似的触发器,并对它们应用相同的操作。如果我们能为每个网络端口问题只得到一份问题报告,那会怎样?没有必要报告所有的问题。这也可能通过全局事件关联实现。

全局事件关联在关联规则中配置。关联规则定义了新的问题事件如何与现有问题事件配对,以及在匹配的情况下如何处理(关闭新事件,通过生成相应的OK事件关闭匹配的旧事件)。如果问题通过全局关联关闭,它将在监控 > 问题信息列中报告。

只有超级管理员级别的用户可以配置全局关联规则。

必须非常小心地配置事件关联,因为它可能对事件处理性能产生负面影响,或者,如果配置不当,关闭的事件可能比预期的多(在最坏的情况下,甚至所有的问题事件都可能被关闭)。

为了安全地配置全局关联,请遵循以下重要提示:

  • 缩小关联范围。始终为与旧事件配对的新事件设置一个唯一的标签,并使用新事件标签名称关联条件;
  • 在使用关闭旧事件操作时,添加基于旧事件的条件(否则可能关闭所有现有问题);
  • 避免使用可能最终被不同关联配置使用的通用标签名称;
  • 将关联规则的数量限制在你真正需要的范围内。

另请参阅:已知问题

配置

要全局配置事件关联规则:

  • 导航至 数据收集 > 事件关联
  • 点击右侧的 创建事件关联(或点击关联规则名称以编辑现有规则)
  • 在表单中输入关联规则的参数

correlation_rule.png

所有必填输入字段都标有红色星号。

参数 描述
名称 唯一的关联规则名称。
计算类型 以下选项可用于计算条件:
And - 必须满足所有条件
Or - 只需满足一个条件即可
And/Or - 不同条件类型的AND和相同条件类型的OR
自定义表达式 - 用户定义的计算公式,用于评估操作条件。它必须包含所有条件(表示为大写字母A,B,C,...),并且可以包含空格,制表符,括号(),and(区分大小写),or(区分大小写),not(区分大小写)。
条件 条件列表。有关配置条件的详细信息,请参阅下文。
描述 关联规则的描述。
操作 勾选要执行的操作的复选框,当事件关联时。以下操作可用:
关闭旧事件 - 当新事件发生时关闭旧事件。使用 关闭旧事件 操作时,始终添加基于旧事件的条件,否则可能关闭所有现有问题。
关闭新事件 - 当事件发生时关闭新事件
启用 如果勾选此复选框,关联规则将被启用。

要配置新条件的详细信息,点击条件块中的 。将打开一个弹出窗口,您可以在其中编辑条件详细信息。

参数 描述
新条件 选择用于关联事件的条件。
注意 如果未指定旧事件条件,所有旧事件都可能匹配并被关闭。同样,如果未指定新事件条件,所有新事件都可能匹配并被关闭。
以下条件可用:
旧事件标签名称 - 指定用于匹配的旧事件标签名称。
新事件标签名称 - 指定用于匹配的新事件标签名称。
新事件主机组 - 指定用于匹配的新事件主机组。
事件标签对 - 指定新事件标签名称和旧事件标签名称用于匹配。在这种情况下,如果两个事件中标签的匹配,则会有匹配。标签名称不必匹配。
此选项对于匹配运行时值很有用,这些值可能在配置时未知(另请参阅 示例)。
旧事件标签值 - 使用以下运算符指定用于匹配的旧事件标签名称和值:
等于 - 具有旧事件标签值
不等于 - 没有旧事件标签值
包含 - 在旧事件标签值中具有字符串
不包含 - 在旧事件标签值中没有字符串
新事件标签值 - 使用以下运算符指定用于匹配的新事件标签名称和值:
等于 - 具有新事件标签值
不等于 - 没有新事件标签值
包含 - 在新事件标签值中具有字符串
不包含 - 在新事件标签值中没有字符串

由于可能的误配置,当可能为不相关问题创建相似的事件标签时,请查看以下情况!

  • 实际的标签和标签值只有在触发器触发时才可见。如果使用的正则表达式无效,它将被静默替换为 *UNKNOWN* 字符串。如果错过具有 *UNKNOWN* 标签值的初始问题事件,可能会出现后续OK事件,这些事件具有相同的 *UNKNOWN* 标签值,可能会关闭不应关闭的问题事件。
  • 如果用户在标签值中使用 {ITEM.VALUE} 宏而不使用宏函数,255字符的限制适用。当日志消息很长,且前255个字符不具体时,这也可能导致不相关问题的相似事件标签。

示例

阻止来自同一网络端口的重复问题事件。

此全局关联规则将在触发器上存在hostport标签值时进行关联,且在原始事件和新事件中它们相同。

操作将关闭同一网络端口上的新问题事件,仅保留原始问题事件打开。