Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

2 Correlación global de eventos

Descripción general

La correlación global de eventos permite abarcar todas las métricas monitorizadas por Zabbix y crear correlaciones.

Es posible correlacionar eventos creados por disparadores completamente diferentes y aplicarles las mismas operaciones a todos. ¡Al crear reglas de correlación inteligentes, es posible ahorrarse miles de notificaciones repetitivas y centrarse en las causas raíz de un problema!

La correlación global de eventos es un mecanismo potente que le permite desvincularse de la lógica de problema y resolución basada en un solo disparador. Hasta ahora, un único evento de problema era creado por un disparador y dependíamos de ese mismo disparador para la resolución del problema. No podíamos resolver un problema creado por un disparador con otro disparador. Pero con la correlación de eventos basada en etiquetas de eventos, sí podemos.

Por ejemplo, un disparador de registro puede informar de problemas de la aplicación, mientras que un disparador de sondeo puede informar que la aplicación está activa y funcionando. Aprovechando las etiquetas de eventos, puede etiquetar el disparador de registro como status:down mientras etiqueta el disparador de sondeo como status:up. Luego, en una regla de correlación global, puede relacionar estos disparadores y asignar una operación apropiada a esta correlación, como cerrar los eventos antiguos.

En otro uso, la correlación global puede identificar disparadores similares y aplicarles la misma operación. ¿Y si pudiéramos recibir solo un informe de problema por cada problema de puerto de red? No es necesario informar de todos ellos. Eso también es posible con la correlación global de eventos.

La correlación global de eventos se configura en reglas de correlación. Una regla de correlación define cómo se emparejan los nuevos eventos de problema con los eventos de problema existentes y qué hacer en caso de coincidencia (cerrar el nuevo evento, cerrar los eventos antiguos coincidentes generando los correspondientes eventos OK). Si un problema se cierra mediante correlación global, se informa en la columna Info de Supervisión > Problemas.

La configuración de reglas de correlación global solo está disponible para usuarios con nivel de Super Admin.

La correlación de eventos debe configurarse con mucho cuidado, ya que puede afectar negativamente al rendimiento del procesamiento de eventos o, si se configura incorrectamente, cerrar más eventos de los previstos (en el peor de los casos, incluso todos los eventos de problema podrían cerrarse).

Para configurar la correlación global de forma segura, observe los siguientes consejos importantes:

  • Reduzca el alcance de la correlación. Establezca siempre una etiqueta única para el nuevo evento que se empareja con eventos antiguos y utilice la condición de correlación Nombre de la etiqueta del nuevo evento;
  • Añada una condición basada en el evento antiguo al utilizar la operación Cerrar evento antiguo (de lo contrario, podrían cerrarse todos los problemas existentes);
  • Evite utilizar nombres de etiquetas comunes que puedan terminar siendo utilizados por diferentes configuraciones de correlación;
  • Mantenga el número de reglas de correlación limitado a las que realmente necesita.

Consulte también: problemas conocidos.

Configuración

Para configurar reglas de correlación de eventos globalmente:

  • Vaya a Recopilación de datos > Correlación de eventos
  • Haga clic en Crear correlación de eventos a la derecha (o en el nombre de la correlación para editar una regla existente)
  • Ingrese los parámetros de la regla de correlación en el formulario

correlation_rule.png

Todos los campos obligatorios están marcados con un asterisco rojo.

Parámetro Descripción
Nombre Nombre único de la regla de correlación.
Tipo de cálculo Las siguientes opciones de cálculo de condiciones están disponibles:
Y - todas las condiciones deben cumplirse
O - es suficiente si se cumple una condición
Y/O - Y con diferentes tipos de condición y O con el mismo tipo de condición
Expresión personalizada - una fórmula de cálculo definida por el usuario para evaluar las condiciones de la acción. Debe incluir todas las condiciones (representadas como letras mayúsculas A, B, C, ...) y puede incluir espacios, tabulaciones, paréntesis ( ), and (sensible a mayúsculas), or (sensible a mayúsculas), not (sensible a mayúsculas).
Condiciones Lista de condiciones. Consulte más abajo para obtener detalles sobre cómo configurar una condición.
Descripción Descripción de la regla de correlación.
Operaciones Marque la casilla de la operación a realizar cuando el evento sea correlacionado. Las siguientes operaciones están disponibles:
Cerrar eventos antiguos - cierra eventos antiguos cuando ocurre un nuevo evento. Siempre agregue una condición basada en el evento antiguo al usar la operación Cerrar eventos antiguos o todos los problemas existentes podrían cerrarse.
Cerrar nuevo evento - cierra el nuevo evento cuando ocurre
Habilitado Si marca esta casilla, la regla de correlación estará habilitada.

Para configurar los detalles de una nueva condición, haga clic en en el bloque de Condiciones. Se abrirá una ventana emergente donde podrá editar los detalles de la condición.

Parámetro Descripción
Nueva condición Seleccione una condición para correlacionar eventos.
Nota que si no se especifica una condición de evento antiguo, todos los eventos antiguos pueden coincidir y cerrarse. De manera similar, si no se especifica una condición de evento nuevo, todos los eventos nuevos pueden coincidir y cerrarse.
Las siguientes condiciones están disponibles:
Nombre de etiqueta de evento antiguo - especifique el nombre de la etiqueta del evento antiguo para hacer coincidir.
Nombre de etiqueta de evento nuevo - especifique el nombre de la etiqueta del evento nuevo para hacer coincidir.
Grupo de equipos de evento nuevo - especifique el grupo de equipos del evento nuevo para hacer coincidir.
Par de etiquetas de evento - especifique el nombre de la etiqueta del evento nuevo y el nombre de la etiqueta del evento antiguo para hacer coincidir. En este caso, habrá coincidencia si los valores de las etiquetas en ambos eventos coinciden. Los nombres de las etiquetas no necesitan coincidir.
Esta opción es útil para hacer coincidir valores en tiempo de ejecución, que pueden no ser conocidos en el momento de la configuración (ver también Ejemplo).
Valor de etiqueta de evento antiguo - especifique el nombre y valor de la etiqueta del evento antiguo para hacer coincidir, utilizando los siguientes operadores:
igual - tiene el valor de la etiqueta del evento antiguo
no igual - no tiene el valor de la etiqueta del evento antiguo
contiene - tiene la cadena en el valor de la etiqueta del evento antiguo
no contiene - no tiene la cadena en el valor de la etiqueta del evento antiguo
Valor de etiqueta de evento nuevo - especifique el nombre y valor de la etiqueta del evento nuevo para hacer coincidir, utilizando los siguientes operadores:
igual - tiene el valor de la etiqueta del evento nuevo
no igual - no tiene el valor de la etiqueta del evento nuevo
contiene - tiene la cadena en el valor de la etiqueta del evento nuevo
no contiene - no tiene la cadena en el valor de la etiqueta del evento nuevo

Debido a que es posible una mala configuración, cuando se pueden crear etiquetas de eventos similares para problemas no relacionados, ¡revise los casos que se describen a continuación!

  • Las etiquetas y valores de etiquetas reales solo se hacen visibles cuando se dispara un disparador. Si la expresión regular utilizada no es válida, se reemplaza silenciosamente por una cadena *UNKNOWN*. Si se omite el evento de problema inicial con un valor de etiqueta *UNKNOWN*, pueden aparecer eventos OK posteriores con el mismo valor de etiqueta *UNKNOWN* que pueden cerrar eventos de problema que no deberían haberse cerrado.
  • Si un usuario utiliza la macro {ITEM.VALUE} sin funciones de macro como valor de la etiqueta, se aplica la limitación de 255 caracteres. Cuando los mensajes de registro son largos y los primeros 255 caracteres no son específicos, esto también puede resultar en etiquetas de eventos similares para problemas no relacionados.

Ejemplo

Detener eventos de problema repetitivos desde el mismo puerto de red.

Esta regla de correlación global correlacionará problemas si los valores de las etiquetas equipo y puerto existen en el disparador y son los mismos en el evento original y en el nuevo.

La operación cerrará los nuevos eventos de problema en el mismo puerto de red, manteniendo solo el problema original abierto.