2 Correlazione globale degli eventi
Panoramica
La correlazione globale degli eventi consente di estendersi a tutte le metriche monitorate da Zabbix e creare correlazioni.
È possibile correlare eventi creati da trigger completamente diversi e applicare le stesse operazioni a tutti. Creando regole di correlazione intelligenti, è effettivamente possibile risparmiarsi migliaia di notifiche ripetitive e concentrarsi sulle cause principali di un problema!
La correlazione globale degli eventi è un meccanismo potente, che consente di svincolarsi dalla logica di problema e risoluzione basata su un singolo trigger. Finora, un singolo evento di problema veniva creato da un trigger e dipendevamo da quello stesso trigger per la risoluzione del problema. Non era possibile risolvere un problema creato da un trigger con un altro trigger. Ma con la correlazione degli eventi basata sul tagging degli eventi, questo è possibile.
Ad esempio, un trigger di log può segnalare problemi dell'applicazione, mentre un trigger di polling può segnalare che l'applicazione è attiva e funzionante. Sfruttando i tag evento, è possibile contrassegnare il trigger di log con status:down e il trigger di polling con status:up. Quindi, in una regola di correlazione globale, è possibile mettere in relazione questi trigger e assegnare a questa correlazione un'operazione appropriata, come la chiusura dei vecchi eventi.
In un altro caso d'uso, la correlazione globale può identificare trigger simili e applicare loro la stessa operazione. E se potessimo ricevere un solo report di problema per ogni problema di porta di rete? Non è necessario segnalarli tutti. Anche questo è possibile con la correlazione globale degli eventi.
La correlazione globale degli eventi viene configurata nelle regole di correlazione. Una regola di correlazione definisce come i nuovi eventi di problema vengono associati agli eventi di problema esistenti e cosa fare in caso di corrispondenza (chiudere il nuovo evento, chiudere i vecchi eventi corrispondenti generando i relativi eventi OK). Se un problema viene chiuso dalla correlazione globale, ciò viene riportato nella colonna Info di Monitoring > Problems.
La configurazione delle regole di correlazione globale è disponibile solo per gli utenti con livello Super Admin.
La correlazione degli eventi deve essere configurata con molta attenzione, poiché può influire negativamente sulle prestazioni di elaborazione degli eventi oppure, se configurata in modo errato, chiudere più eventi di quanto previsto (nel caso peggiore potrebbero essere chiusi persino tutti gli eventi di problema).
Per configurare la correlazione globale in modo sicuro, osservare i seguenti importanti suggerimenti:
- Ridurre l'ambito della correlazione. Impostare sempre un tag univoco per il nuovo evento che viene associato ai vecchi eventi e utilizzare la condizione di correlazione New event tag name.
- Aggiungere una condizione esplicita per i vecchi eventi quando si utilizza Close old events. Aggiungere sempre almeno una condizione Old event (ad esempio, Old event tag name, Old event tag value oppure Event tag pair) quando si seleziona Close old events — altrimenti la regola potrebbe corrispondere e chiudere eventi di problema esistenti non correlati (nel caso peggiore, tutti i problemi). Preferire Event tag pair per la corrispondenza di valori di runtime (host:port, session id, ecc.) e restringere ulteriormente la corrispondenza per host o gruppo di host quando possibile.
- Evitare di utilizzare nomi di tag comuni che potrebbero finire per essere usati da diverse configurazioni di correlazione.
- Limitare il numero di regole di correlazione a quelle realmente necessarie.
Vedere anche: problemi noti.
Configurazione
Per configurare globalmente le regole di correlazione degli eventi:
- Vai a Raccolta dati > Correlazione eventi
- Fai clic su Crea correlazione eventi a destra (oppure sul nome della correlazione per modificare una regola esistente)
- Inserisci i parametri della regola di correlazione nel modulo
Tutti i campi di input obbligatori sono contrassegnati con un asterisco rosso.
| Parametro | Descrizione |
|---|---|
| Nome | Nome univoco della regola di correlazione. |
| Tipo di calcolo | Sono disponibili le seguenti opzioni per il calcolo delle condizioni: And - tutte le condizioni devono essere soddisfatte Or - è sufficiente che sia soddisfatta una condizione And/Or - AND con tipi di condizione diversi e OR con lo stesso tipo di condizione Espressione personalizzata - una formula di calcolo definita dall'utente per valutare le condizioni dell'azione. Deve includere tutte le condizioni (rappresentate da lettere maiuscole A, B, C, ...) e può includere spazi, tabulazioni, parentesi ( ), and (sensibile a maiuscole/minuscole), or (sensibile a maiuscole/minuscole), not (sensibile a maiuscole/minuscole). |
| Condizioni | Elenco delle condizioni. Vedi sotto per i dettagli sulla configurazione di una condizione. |
| Descrizione | Descrizione della regola di correlazione. |
| Operazioni | Seleziona la casella dell'operazione da eseguire quando l'evento viene correlato. Sono disponibili le seguenti operazioni: Chiudi eventi vecchi - chiude gli eventi vecchi quando si verifica un nuovo evento. Aggiungi sempre una condizione basata sul vecchio evento quando usi l'operazione Chiudi eventi vecchi, altrimenti tutti i problemi esistenti potrebbero essere chiusi. Chiudi nuovo evento - chiude il nuovo evento quando si verifica. Attenzione! Non lasciare vuote le condizioni del vecchio/nuovo evento quando usi Chiudi eventi vecchi/Chiudi nuovo evento. Se selezioni l'operazione Chiudi eventi vecchi senza aggiungere una condizione che corrisponda al vecchio evento, Zabbix potrebbe far corrispondere tutti gli eventi vecchi esistenti e chiuderli. Aggiungi sempre una condizione esplicita del vecchio evento (ad esempio, Nome tag del vecchio evento o Coppia di tag evento) quando usi Chiudi eventi vecchi. Ad esempio, una regola che usa solo una Condizione del nuovo evento e l'operazione Chiudi eventi vecchi corrisponderà a tutti gli eventi vecchi che soddisfano i criteri (mancanti) del vecchio evento, chiudendo di fatto i vecchi problemi. |
| Abilitato | Se selezioni questa casella, la regola di correlazione sarà abilitata. |
Per configurare i dettagli di una nuova condizione, fai clic su 
nel blocco Condizioni.
Si aprirà una finestra popup in cui potrai modificare i dettagli della condizione.
| Parametro | Descrizione |
|---|---|
| Nuova condizione | Seleziona una condizione per correlare gli eventi. Nota che se non viene specificata alcuna condizione del vecchio evento, tutti i vecchi eventi potrebbero essere associati e chiusi. Analogamente, se non viene specificata alcuna condizione del nuovo evento, tutti i nuovi eventi potrebbero essere associati e chiusi. Sono disponibili le seguenti condizioni: Nome tag del vecchio evento - specifica il nome del tag del vecchio evento per la corrispondenza. Nome tag del nuovo evento - specifica il nome del tag del nuovo evento per la corrispondenza. Gruppo host del nuovo evento - specifica il gruppo host del nuovo evento per la corrispondenza. Coppia di tag evento - specifica il nome del tag del nuovo evento e il nome del tag del vecchio evento per la corrispondenza. In questo caso ci sarà corrispondenza se i valori dei tag in entrambi gli eventi corrispondono. I nomi dei tag non devono necessariamente corrispondere. Questa opzione è utile per far corrispondere valori di runtime, che potrebbero non essere noti al momento della configurazione (vedi anche Esempio). Valore tag del vecchio evento - specifica il nome e il valore del tag del vecchio evento per la corrispondenza, usando i seguenti operatori: equals - ha il valore del tag del vecchio evento does not equal - non ha il valore del tag del vecchio evento contains - contiene la stringa nel valore del tag del vecchio evento does not contain - non contiene la stringa nel valore del tag del vecchio evento Valore tag del nuovo evento - specifica il nome e il valore del tag del nuovo evento per la corrispondenza, usando i seguenti operatori: equals - ha il valore del tag del nuovo evento does not equal - non ha il valore del tag del nuovo evento contains - contiene la stringa nel valore del tag del nuovo evento does not contain - non contiene la stringa nel valore del tag del nuovo evento |
Poiché è possibile una configurazione errata, quando possono essere creati tag evento simili per problemi non correlati, rivedi i casi descritti di seguito!
- I tag effettivi e i valori dei tag diventano visibili solo quando un trigger si attiva. Se l'espressione regolare utilizzata non è valida, viene sostituita silenziosamente con una stringa *UNKNOWN*. Se l'evento iniziale del problema con un valore tag *UNKNOWN* viene perso, potrebbero comparire successivi eventi OK con lo stesso valore tag *UNKNOWN* che potrebbero chiudere eventi di problema che non avrebbero dovuto chiudere.
- Se un utente usa la macro {ITEM.VALUE} senza funzioni macro come valore del tag, si applica il limite di 255 caratteri. Quando i messaggi di log sono lunghi e i primi 255 caratteri non sono specifici, anche questo può causare tag evento simili per problemi non correlati.
Esempio
Interrompi gli eventi di problema ripetitivi dalla stessa porta di rete.
Questa regola di correlazione globale correlerà i problemi se i valori dei tag host e port esistono nel trigger e sono uguali nell'evento originale e in quello nuovo.
L'operazione chiuderà i nuovi eventi di problema sulla stessa porta di rete, mantenendo aperto solo il problema originale.