低级别发现（LLD）提供了一种自动为主机上的不同实体创建监控项、触发器和图形的方法。
例如，Zabbix 可以自动开始监控你机器上的文件系统或网络接口，而无需手动为每个文件系统或网络接口创建监控项。
LLD 还可以创建主机，例如，用于填充在 hypervisor 上发现的虚拟机。
此外，还可以将 Zabbix 配置为根据定期执行发现的实际结果自动移除不需要的实体。

用户可以定义自己的发现类型，只要它们遵循特定的 JSON 协议即可。

发现过程的一般架构如下。

首先，用户在 Data collection > Templates 中的 Discovery 列里创建一条发现规则。
一条发现规则由两部分组成：(1) 一个用于发现所需实体的监控项（例如，文件系统或网络接口），以及 (2) 应基于该监控项的值创建的监控项、触发器和图形原型。

用于发现所需实体的监控项与其他地方看到的普通监控项类似：服务器向 Zabbix agent（或该监控项类型所设置的其他对象）请求该监控项的值，agent 返回一个文本值。
不同之处在于，agent 返回的值应包含一个以 JSON 格式表示的已发现实体列表。
虽然这种格式的细节主要对自定义发现检查的实现者才重要，但需要知道的是，返回值包含一个宏 → 值对列表。
例如，监控项 "net.if.discovery" 可能返回两个键值对："{#IFNAME}" → "lo" 和 "{#IFNAME}" → "eth0"。

这些宏会用于名称、键值以及其他原型字段中，然后在创建每个已发现实体对应的实际监控项、触发器、图形，甚至主机时，用接收到的值进行替换。
有关使用 LLD 宏的完整选项列表，请参见相关说明。

当服务器收到某个发现监控项的值时，它会查看这些宏 → 值对，并针对每一对，基于其原型生成实际的监控项、触发器和图形。
以上面的 "net.if.discovery" 为例，服务器会为回环接口 "lo" 生成一组监控项、触发器和图形，并为接口 "eth0" 生成另一组。

请注意，自 Zabbix 4.2 起，低级别发现规则返回的 JSON 格式已发生变化。
现在不再要求 JSON 中包含 "data" 对象。
为了支持监控项值预处理以及 JSON 文档中低级别发现宏值的自定义路径等新功能，低级别发现现在接受包含数组的普通 JSON。

内置发现键已更新为在 JSON 文档根部返回一个 LLD 行数组。
如果数组字段使用 {#MACRO} 语法作为键，Zabbix 会自动提取宏和值。
任何新的原生发现检查都将使用不包含 "data" 元素的新语法。
在处理低级别发现值时，首先会定位根节点（$. 或 $.data 处的数组）。

虽然所有与发现相关的原生监控项中的 "data" 元素已被移除，但为了向后兼容，Zabbix 仍然接受带有 "data" 元素的 JSON 表示法，不过不建议使用。
如果 JSON 仅包含一个 "data" 数组元素的对象，则会自动使用 JSONPath $.data 提取该元素的内容。
低级别发现现在还接受可选的用户自定义 LLD 宏，并可通过 JSONPath 语法指定自定义路径。

由于上述更改，较新的 agent 将无法与较旧的 Zabbix 服务器配合工作。

另请参见：已发现的实体

配置低级发现

我们将通过file系统发现的示例来说明低级发现机制.

要配置发现规则，请执行以下操作:

前往: 数据收集 > 模板或主机.
在相应模板/主机的行中点击发现.

点击屏幕右上角的创建发现规则.
在发现规则表单中填写必要信息.

发现规则

发现规则表单包含五个标签页，从左到右表示发现过程中的数据流：

发现规则 - 主要指定用于获取发现数据的内置监控项或自定义脚本。
预处理 - 对发现到的数据应用一些预处理。
LLD 宏 - 允许提取一些宏值，以便在发现到的监控项、触发器等中使用。
过滤器 - 允许过滤发现到的值。
覆盖 - 允许在应用到特定发现对象时修改监控项、触发器、图形或主机原型。

发现规则 标签页包含用于发现的监控项键值（以及一些通用的发现规则属性）：

所有必填输入字段都用红色星号标记。

Parameter	Description
Name	发现规则名称。
Type	执行发现所使用的检查类型。在此示例中，我们使用的是 Zabbix agent 监控项类型。发现规则也可以是基于常规监控项的依赖监控项。它不能依赖于另一个发现规则。对于依赖监控项，请选择相应的类型（Dependent item），并在 'Master item' 字段中指定主监控项。主监控项必须存在。
Key	输入发现监控项键值（最多 2048 个字符）。例如，您可以使用内置的 "vfs.fs.discovery" 监控项键值返回一个 JSON 字符串，其中包含计算机上存在的文件系统列表、它们的类型以及挂载选项。请注意，文件系统发现的另一种方式是使用 "vfs.fs.get" agent 键值的发现结果（参见示例）。
Update interval	此字段指定 Zabbix 执行发现的频率。开始配置文件系统发现时，您可能希望将其设置为较短的间隔；但一旦确认其正常工作，就可以将其设置为 30 分钟或更长，因为文件系统通常不会频繁变化。支持时间后缀，例如 30s、1m、2h、1d。支持用户宏。注意：只有在存在非零值的自定义间隔时，才能将更新间隔设置为 '0'。如果设置为 '0'，且存在非零值的自定义间隔（灵活或计划），则会在自定义间隔持续时间内轮询该监控项。新的发现规则会在创建后 60 秒内进行检查，除非它们具有计划或灵活更新间隔，并且 Update interval 设置为 0。注意：对于现有发现规则，可以通过点击 Execute now 按钮立即执行发现。
Custom intervals	您可以为检查该监控项创建自定义规则： Flexible - 创建对 Update interval 的例外（不同频率的间隔） Scheduling - 创建自定义轮询计划。详细信息请参见自定义间隔。
Timeout	设置发现检查超时时间。请选择超时选项： Global - 使用 proxy/全局超时（显示在灰色的 Timeout 字段中）； Override - 使用自定义超时（在 Timeout 字段中设置；允许范围：1 - 600s）。支持时间后缀，例如 30s、1m，以及用户宏。点击 Timeouts 链接可配置proxy 超时或全局超时（如果未使用 proxy）。请注意，只有具有 Super admin 类型且对 Administration > General 或 Administration > Proxies 前端部分权限的用户才能看到 Timeouts 链接。
Delete lost resources	指定当发现状态变为“Not discovered anymore”后，发现到的实体多久会被删除： Never - 不会删除； Immediately - 立即删除； After - 在指定时间后删除。该值必须大于 Disable lost resources 的值。支持时间后缀，例如 2h、1d。支持用户宏。注意：不建议使用“Immediately”，因为仅仅是错误地编辑过滤器，就可能导致该实体及其所有历史数据被删除。请注意，手动禁用的资源不会被低级别发现删除。
Disable lost resources	指定当发现状态变为“Not discovered anymore”后，发现到的实体多久会被禁用： Never - 不会禁用； Immediately - 立即禁用； After - 在指定时间后禁用。该值应大于发现规则更新间隔。请注意，如果自动禁用的资源后来又被低级别发现重新发现，它们会再次启用。手动禁用的资源如果被重新发现，不会再次启用。如果 Delete lost resources 设置为“Immediately”，则不显示此字段。支持时间后缀，例如 2h、1d。支持用户宏。
Description	输入描述。
Enabled	如果勾选，将处理该规则。

发现规则历史不会被保留。

预处理

预处理 选项卡允许定义要应用于发现结果的转换规则。在此步骤中可以执行一个或多个转换。转换将按照定义的顺序执行。所有预处理都由 Zabbix 服务器完成。

另请参见：

Type
	Transformation	Description
Text
	Regular expression	将接收到的值与 <pattern> 正则表达式匹配，并用提取的 <output> 替换该值。正则表达式支持使用 \N 序列最多提取 10 个捕获组。参数： pattern - 正则表达式 output - 输出格式模板。\N（其中 N=1…9）转义序列会被替换为第 N 个匹配组。\0 转义序列会被替换为匹配到的文本。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	Replace	查找搜索字符串并将其替换为另一个字符串（或不替换）。搜索字符串的所有出现位置都会被替换。参数： search string - 要查找并替换的字符串，区分大小写（必填） replacement - 用于替换搜索字符串的字符串。替换字符串也可以为空，从而在找到搜索字符串时将其删除。可以使用转义序列来搜索或替换换行符、回车符、制表符和空格 "\n \r \t \s"；反斜杠可转义为 "\\"，转义序列可转义为 "\\n"。在低级发现过程中，会自动对换行符、回车符和制表符进行转义处理。
Structured data
	JSONPath	使用 JSONPath 功能从 JSON 数据中提取值或片段。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	XML XPath	使用 XPath 功能从 XML 数据中提取值或片段。要使此选项生效，Zabbix 服务器必须在编译时启用 libxml 支持。示例： `number(/document/item/value)` 将从 `<document><item><value>10</value></item></document>` 中提取 `10` `number(/document/item/@attribute)` 将从 `<document><item attribute="10"></item></document>` 中提取 `10` `/document/item` 将从 `<document><item><value>10</value></item></document>` 中提取 `<item><value>10</value></item>` 请注意，不支持命名空间。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	CSV to JSON	将 CSV 文件数据转换为 JSON 格式。更多信息请参见：CSV to JSON 预处理。
	XML to JSON	将 XML 格式的数据转换为 JSON。更多信息请参见：序列化规则。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
SNMP
	SNMP walk value	根据指定的 OID/MIB 名称提取值并应用格式化选项： Unchanged - 返回未转义的 Hex-STRING 十六进制字符串（注意仍会应用显示提示）； UTF-8 from Hex-STRING - 将 Hex-STRING 转换为 UTF-8 字符串； MAC from Hex-STRING - 将 Hex-STRING 转换为 MAC 地址字符串（其中 `' '` 将替换为 `':'`）； Integer from BITS - 将以十六进制字符序列表示的位字符串的前 8 个字节（例如 "1A 2B 3C 4D"）转换为 64 位无符号整数。对于长度超过 8 字节的位字符串，后续字节将被忽略。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	SNMP walk to JSON	将 SNMP 值转换为 JSON。在 JSON 中指定字段名以及对应的 SNMP OID 路径。字段值将由指定 SNMP OID 路径中的值填充。您可以将此预处理步骤用于 SNMP OID 发现。可用的值格式化选项与 SNMP walk value 步骤类似。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	SNMP get value	对 SNMP get 值应用格式化选项： UTF-8 from Hex-STRING - 将 Hex-STRING 转换为 UTF-8 字符串； MAC from Hex-STRING - 将 Hex-STRING 转换为 MAC 地址字符串（其中 `' '` 将替换为 `':'`）； Integer from BITS - 将以十六进制字符序列表示的位字符串的前 8 个字节（例如 "1A 2B 3C 4D"）转换为 64 位无符号整数。对于长度超过 8 字节的位字符串，后续字节将被忽略。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
Custom scripts
	JavaScript	在参数字段中单击或单击其旁边的铅笔图标时打开的模态编辑器中输入 JavaScript 代码。请注意，可用的 JavaScript 长度取决于所使用的数据库。更多信息请参见：Javascript 预处理
Validation
	Does not match regular expression	指定一个值不得匹配的正则表达式。例如 `Error:(.?)\.` 如果勾选 Custom on fail* 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	Check for error in JSON	检查位于 JSONPath 中的应用级错误消息。如果成功且消息不为空，则停止处理；否则继续使用此预处理步骤之前的值进行处理。请注意，这些外部服务错误会按原样报告给用户，不会附加预处理步骤信息。例如 `$.errors`。如果收到类似 `{"errors":"e1"}` 的 JSON，则不会执行下一步预处理。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	Check for error in XML	检查位于 Xpath 中的应用级错误消息。如果成功且消息不为空，则停止处理；否则继续使用此预处理步骤之前的值进行处理。请注意，这些外部服务错误会按原样报告给用户，不会附加预处理步骤信息。如果解析无效 XML 失败，不会报告错误。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
	Matches regular expression	指定一个值必须匹配的正则表达式。如果勾选 Custom on fail 复选框，则可以指定自定义错误处理选项：丢弃该值、设置指定值或设置指定错误消息。
Throttling
	Discard unchanged with heartbeat	如果某个值在定义的时间段内未发生变化，则丢弃该值（单位：秒）。支持使用正整数指定秒数（最小值为 1 秒）。此字段中可以使用时间后缀（例如 30s、1m、2h、1d）。此字段中可以使用用户宏和低级发现宏。一个发现监控项只能指定一种节流选项。例如 `1m`。如果在 60 秒内两次传入相同文本，则会被丢弃。注意：更改监控项原型不会重置节流。只有在更改预处理步骤时才会重置节流。
Prometheus
	Prometheus to JSON	将所需的 Prometheus 指标转换为 JSON。更多详情请参见：Prometheus 检查。

请注意，如果该发现规则是通过模板应用到主机上的，则此选项卡内容为只读。

自定义宏

LLD宏选项卡允许指定自定义的低级发现宏。

当返回的JSON未定义所需宏时，自定义宏非常有用。例如：

文件系统发现的原生vfs.fs.discovery键返回的JSON包含预定义的LLD宏，如{#FSNAME}、{#FSTYPE}。这些宏可直接用于监控项、触发器原型（参见本页后续章节），无需定义自定义宏；
vfs.fs.get agent 监控项也返回带有filesystem data的JSON，但没有任何预定义的LLD宏。此时您可以自行定义宏，并使用JSONPath将其映射到JSON中的值：

提取的值可用于发现的监控项、触发器等。注意，值将从发现结果及当前所有预处理步骤中提取。

参数说明

LLD macro 低级发现宏的名称，使用以下语法：{#MACRO}。

JSONPath 用于从LLD行提取LLD宏值的路径，使用JSONPath语法。
从返回的JSON中提取的值用于替换监控项、触发器等原型字段中的LLD宏。
JSONPath可使用点表示法或括号表示法指定。若存在特殊字符和Unicode，应使用括号表示法，如$['unicode + special chars #1']['unicode + special chars #2']。

例如，$.foo将从以下JSON中提取"bar"和"baz"：[{"foo":"bar"}, {"foo":"baz"}]
注意，$.foo也会从以下JSON中提取"bar"和"baz"：{"data":[{"foo":"bar"}, {"foo":"baz"}]}，因为单个"data" object会被自动处理（为了与Zabbix 4.2版本之前的低级发现实现向后兼容）。

参数	说明
LLD macro	低级发现宏的名称，使用以下语法：{#MACRO}。
JSONPath	用于从LLD行提取LLD宏值的路径，使用JSONPath语法。从返回的JSON中提取的值用于替换监控项、触发器等原型字段中的LLD宏。 JSONPath可使用点表示法或括号表示法指定。若存在特殊字符和Unicode，应使用括号表示法，如`$['unicode + special chars #1']['unicode + special chars #2']`。例如，`$.foo`将从以下JSON中提取"bar"和"baz"：`[{"foo":"bar"}, {"foo":"baz"}]` 注意，`$.foo`也会从以下JSON中提取"bar"和"baz"：`{"data":[{"foo":"bar"}, {"foo":"baz"}]}`，因为单个"data" object会被自动处理（为了与Zabbix 4.2版本之前的低级发现实现向后兼容）。

过滤器

过滤器可用于generate仅匹配条件的实体对应的真实监控项、触发器及图表。 Filters选项卡包含发现规则过滤器定义，可用于筛选发现值：

参数	描述
Type of calculation	提供以下过滤器计算选项： And - 必须通过所有过滤器； Or - 只需通过一个过滤器； And/Or - 对不同的宏名使用And，对相同宏名使用Or； Custom expression - 支持自定义过滤器计算逻辑。公式必须包含列表中的所有过滤器。限制为255个字符。
Filters	提供以下过滤条件运算符：matches（匹配）、does not match（不匹配）、exists（存在）、does not exist（不存在）。 matches和does not match运算符需要Perl Compatible Regular Expression（PCRE）。例如，若仅需监控C:、D:和E:的file系统，可在"Macro"中输入{#FSNAME}，在"Regular expression"文本框中输入"\^C\	\^D\	\^{E"正则表达式。还可通过file系统类型使用{#FSTYPE}宏（如"\}ext\	\^{reiserfs"）及驱动器类型（仅Windows agent支持）使用{#FSDRIVETYPE}宏（如"fixed"）进行过滤。在"Regular expression"字段可输入正则表达式或引用全局regular expression。测试正则表达式可使用"grep -E"，例如：````for f in ext2 nfs reiserfs smbfs; do echo $f \| grep -E '}ext\|^reiserfs' \|\| echo "SKIP: $f"; done```` Exists和does not exist运算符可根据响应中是否存在指定LLD宏来过滤实体。注意：若响应中缺少过滤器中的宏，除非为该宏指定"does not exist"条件，否则发现的实体将被忽略。当宏缺失影响表达式结果时将显示警告。例如： {#B}在以下情况缺失时： {#A}匹配1且{#B}匹配2 - 将触发警告 {#A}匹配1或{#B}匹配2 - 无警告

LLD规则中使用的正则表达式存在错误或拼写错误（例如错误的"File systems for discovery"正则表达式）可能导致删除数千个配置元素、历史数据及多个主机的事件记录。

若需正确发现仅大小写不同的file系统名称，MySQL中的Zabbix数据库必须设置为区分大小写。

覆盖

Overrides 选项卡允许设置规则，以修改满足给定条件的已发现对象的监控项、触发器、图形和主机原型列表，或修改其属性。

覆盖项（如果有）会以可重新排序的拖放列表形式显示，并按定义顺序执行。要配置新覆盖项的详细信息，请在 Overrides 区块中单击。要编辑现有覆盖项，请单击覆盖项名称。将打开一个弹出窗口，允许编辑覆盖规则的详细信息。

所有必填参数都用红色星号标记。

参数	描述
名称	唯一的（针对每条 LLD 规则）覆盖项名称。
如果过滤器匹配	定义当满足过滤条件时，是否处理后续覆盖项：继续覆盖 - 将处理后续覆盖项。停止处理 - 将执行前面的操作（如果有）以及此覆盖项，后续覆盖项将被忽略，适用于匹配的 LLD 行。
过滤器	确定应将覆盖项应用于哪些已发现实体。覆盖过滤器在发现规则过滤器之后处理，并具有相同功能。
操作	覆盖操作显示以下详细信息：条件 - 对象类型以及对象名称必须满足的条件；例如：触发器原型不等于 Disk space is low (used > 50%)。操作 - 显示用于编辑和删除操作的链接。

配置操作

要配置新操作的详细信息，请在 Operations 区块中单击。要编辑现有操作，请单击操作旁边的。将打开一个弹出窗口，您可以在其中编辑操作详细信息。

参数			描述
对象			可用四种对象类型：监控项原型触发器原型图形原型主机原型
条件			允许筛选应将该操作应用于哪些实体。
	运算符		支持的运算符：等于 - 应用于此原型不等于 - 应用于除该原型之外的所有原型包含 - 如果原型名称包含此字符串，则应用不包含 - 如果原型名称不包含此字符串，则应用匹配 - 如果原型名称匹配正则表达式，则应用不匹配 - 如果原型名称不匹配正则表达式，则应用
	模式		一个正则表达式或要搜索的字符串。
	对象：监控项原型
		创建时启用	勾选该复选框后，将显示按钮，允许覆盖原始监控项原型设置：是 - 该监控项将以启用状态添加。否 - 该监控项将添加到已发现实体中，但处于禁用状态。
		发现	勾选该复选框后，将显示按钮，允许覆盖原始监控项原型设置：是 - 将添加该监控项。否 - 不会添加该监控项。
		更新间隔	勾选该复选框后，将显示两个选项，允许为该监控项设置不同的间隔：延迟 - 监控项更新间隔。支持用户宏、LLD 宏和时间后缀（例如 30s、1m、2h、1d）（Zabbix 7.0.27 中已恢复对 LLD 宏的支持）。如果使用自定义间隔，应将其设置为 0。自定义间隔 - 单击以指定灵活/计划间隔。详细信息请参见自定义间隔。
		历史数据	勾选该复选框后，将显示按钮，允许为该监控项设置不同的历史数据保存周期：不保存 - 如果选择此项，将不保存历史数据。保存至 - 如果选择此项，右侧将出现一个用于指定保存周期的输入字段。支持用户宏和 LLD 宏（Zabbix 7.0.27 中已恢复对 LLD 宏的支持）。
		趋势数据	勾选该复选框后，将显示按钮，允许为该监控项设置不同的趋势数据保存周期：不保存 - 如果选择此项，将不保存趋势数据。保存至 - 如果选择此项，右侧将出现一个用于指定保存周期的输入字段。支持用户宏和 LLD 宏（Zabbix 7.0.27 中已恢复对 LLD 宏的支持）。
		标签	勾选该复选框后，将出现一个新区块，允许指定标签-值对。支持用户宏和 LLD 宏。这些标签将追加到监控项原型中指定的标签之后，即使标签名称相同也是如此。
	对象：触发器原型
		创建时启用	勾选该复选框后，将显示按钮，允许覆盖原始触发器原型设置：是 - 该触发器将以启用状态添加。否 - 该触发器将添加到已发现实体中，但处于禁用状态。
		发现	勾选该复选框后，将显示按钮，允许覆盖原始触发器原型设置：是 - 将添加该触发器。否 - 不会添加该触发器。
		严重性	勾选该复选框后，将显示触发器严重性按钮，允许修改触发器严重性。
		标签	勾选该复选框后，将出现一个新区块，允许指定标签-值对。支持用户宏和 LLD 宏。这些标签将追加到触发器原型中指定的标签之后，即使标签名称相同也是如此。
	对象：图形原型
		发现	勾选该复选框后，将显示按钮，允许覆盖原始图形原型设置：是 - 将添加该图形。否 - 不会添加该图形。
	对象：主机原型
		创建时启用	勾选该复选框后，将显示按钮，允许覆盖原始主机原型设置：是 - 该主机将以启用状态创建。否 - 该主机将以禁用状态创建。
		发现	勾选该复选框后，将显示按钮，允许覆盖原始主机原型设置：是 - 将发现该主机。否 - 不会发现该主机。
		链接模板	勾选该复选框后，将出现一个用于指定模板的输入字段。开始输入模板名称，或单击字段旁边的 Select，然后在弹出窗口中的列表里选择模板。此覆盖项中的模板会添加到已链接到主机原型的所有模板中。
		标签	勾选该复选框后，将出现一个新区块，允许指定标签-值对。支持用户宏和 LLD 宏。这些标签将追加到主机原型中指定的标签之后，即使标签名称相同也是如此。
		主机库存	勾选该复选框后，将显示按钮，允许为主机原型选择不同的库存模式：禁用 - 不填充主机库存手动 - 手动提供详细信息自动 - 根据收集到的指标自动填充主机库存数据。

表单按钮

表单底部的按钮可用于执行多个操作。


	添加发现规则。此按钮仅适用于新建的发现规则。
	更新发现规则的属性。此按钮仅适用于已存在的发现规则。
	基于当前发现规则的属性创建另一个发现规则。
	立即根据发现规则执行发现操作。该发现规则必须已经存在。请参见 more details。注意：在立即执行发现操作时，configuration cache 不会更新，因此结果不会反映发现规则配置的最新更改。
	测试发现规则配置。使用此按钮可以验证配置设置（例如连接性和参数正确性），而无需永久应用任何更改。
	删除发现规则。
	取消对发现规则属性的编辑。