2 Correlazione globale degli eventi
Panoramica
La correlazione globale degli eventi consente di estendersi a tutte le metriche monitorate da Zabbix e di creare correlazioni.
È possibile correlare eventi creati da trigger completamente diversi e applicare a tutti le stesse operazioni. Creando regole di correlazione intelligenti, è possibile risparmiarsi migliaia di notifiche ripetitive e concentrarsi sulle cause principali di un problema!
La correlazione globale degli eventi è un meccanismo potente, che consente di svincolarsi dalla logica di problema e risoluzione basata su un singolo trigger. Finora, un singolo evento di problema veniva creato da un trigger e dipendevamo da quello stesso trigger per la risoluzione del problema. Non era possibile risolvere un problema creato da un trigger con un altro trigger. Ma con la correlazione degli eventi basata sul tagging degli eventi, questo è possibile.
Ad esempio, un trigger di log può segnalare problemi dell'applicazione, mentre un trigger di polling può segnalare che l'applicazione è attiva e funzionante. Sfruttando i tag evento, è possibile contrassegnare il trigger di log con status:down e il trigger di polling con status:up. Quindi, in una regola di correlazione globale, è possibile mettere in relazione questi trigger e assegnare a questa correlazione un'operazione appropriata, come la chiusura dei vecchi eventi.
In un altro caso d'uso, la correlazione globale può identificare trigger simili e applicare loro la stessa operazione. E se potessimo ricevere un solo report di problema per ogni problema su una porta di rete? Non è necessario segnalarli tutti. Anche questo è possibile con la correlazione globale degli eventi.
La correlazione globale degli eventi viene configurata nelle regole di correlazione. Una regola di correlazione definisce come i nuovi eventi di problema vengono associati agli eventi di problema esistenti e cosa fare in caso di corrispondenza (chiudere il nuovo evento, chiudere i vecchi eventi corrispondenti generando i relativi eventi OK). Se un problema viene chiuso dalla correlazione globale, ciò viene riportato nella colonna Info di Monitoring > Problems.
La configurazione delle regole di correlazione globale è disponibile solo per gli utenti di livello Super Admin.
La correlazione degli eventi deve essere configurata con molta attenzione, poiché può influire negativamente sulle prestazioni di elaborazione degli eventi oppure, se configurata in modo errato, chiudere più eventi del previsto (nel caso peggiore potrebbero essere chiusi persino tutti gli eventi di problema).
Per configurare la correlazione globale in modo sicuro, osservare i seguenti importanti suggerimenti:
- Ridurre l'ambito della correlazione. Impostare sempre un tag univoco per il nuovo evento che viene associato ai vecchi eventi e utilizzare la condizione di correlazione New event tag name.
- Aggiungere una condizione esplicita sul vecchio evento quando si utilizza Close old events. Aggiungere sempre almeno una condizione Old event (ad esempio, Old event tag name, Old event tag value oppure Event tag pair) quando si seleziona Close old events — altrimenti la regola potrebbe trovare corrispondenze e chiudere eventi di problema esistenti non correlati (nel caso peggiore, tutti i problemi). Preferire Event tag pair per la corrispondenza di valori di runtime (host:port, session id, ecc.) e restringere ulteriormente la corrispondenza per host o gruppo di host quando possibile.
- Evitare di utilizzare nomi di tag comuni che potrebbero finire per essere usati da diverse configurazioni di correlazione.
- Limitare il numero di regole di correlazione a quelle realmente necessarie.
Vedere anche: problemi noti.
Configurazione
Per configurare globalmente le regole di correlazione degli eventi:
- Vai su Data collection > Event correlation
- Fai clic su Create event correlation a destra (oppure sul nome della correlazione per modificare una regola esistente)
- Inserisci i parametri della regola di correlazione nel modulo
Tutti i campi di input obbligatori sono contrassegnati da un asterisco rosso.
| Parameter | Description |
|---|---|
| Name | Nome univoco della regola di correlazione. |
| Type of calculation | Sono disponibili le seguenti opzioni di calcolo delle condizioni: And - tutte le condizioni devono essere soddisfatte Or - è sufficiente che sia soddisfatta una condizione And/Or - AND con tipi di condizione diversi e OR con lo stesso tipo di condizione Custom expression - una formula di calcolo definita dall'utente per valutare le condizioni dell'azione. Deve includere tutte le condizioni (rappresentate da lettere maiuscole A, B, C, ...) e può includere spazi, tabulazioni, parentesi ( ), and (case sensitive), or (case sensitive), not (case sensitive). |
| Conditions | Elenco delle condizioni. Vedi sotto per i dettagli sulla configurazione di una condizione. |
| Description | Descrizione della regola di correlazione. |
| Operations | Seleziona la casella di controllo dell'operazione da eseguire quando l'evento viene correlato. Sono disponibili le seguenti operazioni: Close old events - chiude i vecchi eventi quando si verifica un nuovo evento. Aggiungi sempre una condizione basata sul vecchio evento quando usi l'operazione Close old events, altrimenti tutti i problemi esistenti potrebbero essere chiusi. Close new event - chiude il nuovo evento quando si verifica. Warning! Non lasciare vuote le condizioni del vecchio/nuovo evento quando usi Close old events/Close new event. Se selezioni l'operazione Close old events senza aggiungere una condizione che corrisponda al vecchio evento, Zabbix potrebbe abbinare tutti i vecchi eventi esistenti e chiuderli. Aggiungi sempre una condizione esplicita del vecchio evento (ad esempio, Old event tag name o Event tag pair) quando usi Close old events. Per esempio, una regola che usa solo una New event condition e l'operazione Close old events corrisponderà a tutti i vecchi eventi che soddisfano i criteri del vecchio evento mancanti, chiudendo di fatto i vecchi problemi. |
| Enabled | Se selezioni questa casella di controllo, la regola di correlazione sarà abilitata. |
Per configurare i dettagli di una nuova condizione, fai clic su 
nel blocco Conditions.
Si aprirà una finestra popup in cui potrai modificare i dettagli della condizione.
| Parameter | Description |
|---|---|
| New condition | Seleziona una condizione per correlare gli eventi. Nota che se non viene specificata alcuna condizione del vecchio evento, tutti i vecchi eventi potrebbero essere abbinati e chiusi. Allo stesso modo, se non viene specificata alcuna condizione del nuovo evento, tutti i nuovi eventi potrebbero essere abbinati e chiusi. Sono disponibili le seguenti condizioni: Old event tag name - specifica il nome del tag del vecchio evento da abbinare. New event tag name - specifica il nome del tag del nuovo evento da abbinare. New event host group - specifica il gruppo host del nuovo evento da abbinare. Event tag pair - specifica il nome del tag del nuovo evento e il nome del tag del vecchio evento da abbinare. In questo caso ci sarà corrispondenza se i valori dei tag in entrambi gli eventi coincidono. I nomi dei tag non devono coincidere. Questa opzione è utile per abbinare valori runtime, che potrebbero non essere noti al momento della configurazione (vedi anche Example). Old event tag value - specifica il nome e il valore del tag del vecchio evento da abbinare, usando i seguenti operatori: equals - ha il valore del tag del vecchio evento does not equal - non ha il valore del tag del vecchio evento contains - contiene la stringa nel valore del tag del vecchio evento does not contain - non contiene la stringa nel valore del tag del vecchio evento New event tag value - specifica il nome e il valore del tag del nuovo evento da abbinare, usando i seguenti operatori: equals - ha il valore del tag del nuovo evento does not equal - non ha il valore del tag del nuovo evento contains - contiene la stringa nel valore del tag del nuovo evento does not contain - non contiene la stringa nel valore del tag del nuovo evento |
Poiché è possibile una configurazione errata, quando possono essere creati tag di evento simili per problemi non correlati, esamina i casi descritti di seguito!
- I tag effettivi e i valori dei tag diventano visibili solo quando un trigger si attiva. Se l'espressione regolare utilizzata non è valida, viene sostituita silenziosamente con una stringa *UNKNOWN*. Se l'evento di problema iniziale con un valore di tag *UNKNOWN* viene perso, potrebbero comparire successivi eventi OK con lo stesso valore di tag *UNKNOWN* che potrebbero chiudere eventi di problema che non avrebbero dovuto essere chiusi.
- Se un utente usa la macro {ITEM.VALUE} senza funzioni macro come valore del tag, si applica il limite di 255 caratteri. Quando i messaggi di log sono lunghi e i primi 255 caratteri non sono specifici, ciò può anche causare tag di evento simili per problemi non correlati.
Esempio
Interrompi gli eventi di problema ripetitivi dalla stessa porta di rete.
Questa regola di correlazione globale correlerà i problemi se i valori dei tag host e port esistono nel trigger e sono uguali nell'evento originale e in quello nuovo.
L'operazione chiuderà i nuovi eventi di problema sulla stessa porta di rete, mantenendo aperto solo il problema originale.