Documentation
Table of Contents
1 Корелација догађаја заснована на окидачу
Преглед
Корелација догађаја заснована на окидачима омогућава корелацију одвојених проблема које је пријавио један окидач.
Иако генерално OK догађај може затворити све проблематичне догађаје које је креирао један окидач, постоје случајеви када је потребан детаљнији приступ. На пример, приликом праћења лог датотека, можда ћете желети да откријете одређене проблеме у лог датотеци и затворите их појединачно, а не све заједно.
То је случај са окидачима који имају параметар PROBLEM event generation mode подешен на Multiple. Такви окидачи се обично користе за праћење логова, обраду замки итд.
У Zabbix-у је могуће повезати проблематичне догађаје на основу tagging. Ознаке се користе за издвајање вредности и креирање идентификације за проблематичне догађаје. Користећи то, проблеми се такође могу појединачно затворити на основу подударања ознаке.
Другим речима, исти окидач може креирати одвојене догађаје идентификоване ознаком догађаја. Стога се проблематични догађаји могу идентификовати један по један и затворити одвојено на основу идентификације ознаком догађаја.
Како функционише
У праћењу дневника можете наићи на редове сличне овим:
Ред 1: Апликација 1 је заустављена Ред 2: Апликација 2 је заустављена Ред 3: Апликација 1 је поново покренута Ред 4: Апликација 2 је поново покренута
Идеја корелације догађаја је да се може упарити проблемски догађај из реда 1 са решењем из реда 3 и проблемски догађај из реда 2 са решењем из реда 4, и затворити ове проблеме један по један:
Ред 1: Апликација 1 је заустављена Ред 3: Апликација 1 је поново покренута #проблем из реда 1 је затворен
Ред 2: Апликација 2 је заустављена Ред 4: Апликација 2 је поново покренута #проблем из реда 2 је затворен
Да бисте то урадили, потребно је да означите ове повезане догађаје као, на пример, "Апликација 1" и "Апликација 2". То се може урадити применом регуларног израза на ред дневника да би се извукла вредност ознаке. Затим, када се догађаји креирају, они се означавају као "Апликација 1" и "Апликација 2" респективно и проблем се може упарити са решењем.
Конфигурација
Ставка
За почетак, можда ћете желети да подесите ставку која надгледа датотеку евиденције, на пример:
log[/var/log/syslog]
Када је ставка подешена, сачекајте минут да се промене конфигурације покупе, а затим идите на Најновији подаци да бисте били сигурни да је ставка почела да прикупља податке.
Окидач
Да би ставка радила, потребно је да конфигуришете окидач. Важно је одлучити на које уносе у датотеци дневника вреди обратити пажњу. На пример, следећи израз окидача ће тражити стринг као што је 'Заустављање' да би сигнализирао потенцијалне проблеме:
find(/My host/log[/var/log/syslog],"regexp","Stopping")=1
Да бисте били сигурни да се сваки ред који садржи стринг "Заустављање" сматра проблемом, такође поставите режим генерисања догађаја проблема у конфигурацији окидача на 'Вишеструко'.
Затим дефинишите израз за опоравак. Следећи израз за опоравак решиће све проблеме ако се пронађе ред дневника који садржи стринг "Starting":
find(/My host/log[/var/log/syslog],"regexp","Starting")=1
Пошто то не желимо, важно је некако осигурати да су одговарајући коренски проблеми затворени, а не само сви проблеми. Ту може помоћи означавање.
Проблеми и решења могу се упарити навођењем ознаке у конфигурацији окидача. Потребно је извршити следећа подешавања:
- Режим генерисања проблемских догађаја: Вишеструко
- Догађај се затвара: Сви проблеми ако се вредности ознака подударају
- Унесите назив ознаке за подударање догађаја
- конфигуришите ознаке да бисте издвојили вредности ознака из редова дневника
Ако је успешно конфигурисано, моћи ћете да видите проблемске догађаје означене по апликацији и упарене са њиховим решењем у Праћење → Проблеми.
Пошто је могућа погрешна конфигурација, када се сличне ознаке догађаја могу креирати за неповезане проблеме, прегледајте случајеве наведене у наставку!
- Када две апликације пишу поруке о грешкама и опоравку у исту датотеку дневника, корисник може одлучити да користи две ознаке Апликације у истом окидачу са различитим вредностима ознака коришћењем одвојених регуларних израза у вредностима ознака да би извукао имена, рецимо, апликације А и апликације Б из макроа {ITEM.VALUE} (нпр. када се формати порука разликују). Међутим, ово можда неће функционисати како је планирано ако нема подударања са регуларним изразима. Неподударни регуларни изрази ће дати празне вредности ознака, а једна празна вредност ознаке у оба догађаја, проблем и у OK, је довољна да их повеже. Дакле, порука о опоравку из апликације А може случајно затворити поруку о грешци из апликације Б.
{=html} <!-- --> - Стварне ознаке и вредности ознака постају видљиве тек када се окидач активира. Ако је коришћени регуларни израз неважећи, он се тихо замењује стрингом *UNKNOWN*. Ако се почетни проблематични догађај са вредношћу ознаке *UNKNOWN* пропусти, могу се појавити накнадни OK догађаји са истом вредношћу ознаке *UNKNOWN* који могу затворити проблематичне догађаје које нису требали затворити.
{=html} <!-- --> - Ако корисник користи макро {ITEM.VALUE} без макро функција као вредност ознаке, примењује се ограничење од 255 знакова. Када су поруке дневника дугачке и првих 255 знакова није специфично, ово може такође резултирати сличним ознакама догађаја за неповезане проблеме.