2 トリガー条件式

概要

トリガーで使用される式は非常に柔軟です。 これらを使用して、監視している統計情報に関する複雑な論理テストを作成できます。

単純な式では、いくつかのパラメータを持つ関数がアイテムに適用されます。 関数は、演算子と定数を使用してしきい値と比較される結果を返します。

単純で有用な式の構文は、function(/host/key,parameter)<operator><constant>です。

例:

min(/Zabbix server/net.if.in[eth0,bytes],5m)>100K

これは、過去5分間に受信したバイト数が常に100キロバイトを超えていた場合にトリガーされます。

構文はまったく同じですが、機能的な観点からは、トリガー式には2つのタイプがあります:

• 問題式 - 問題の条件を定義します
• 復旧式 (オプション) - 問題解決の追加条件を定義します

問題式のみを定義する場合、この式は問題のしきい値と問題の復旧しきい値の両方として使用されます。 問題式がTRUEと評価されると、問題が発生します。 問題式がFALSEと評価されると、問題は解決されます。

問題式と補足的な復旧式の両方を定義する場合、問題の解決はより複雑になります: 問題式がFALSEであるだけでなく、復旧式もTRUEでなければなりません。 これはヒステリシスを作成し、トリガーのフラッピングを回避するのに役立ちます。

関数

関数を使用すると、収集した値の計算（平均、最小、最大、合計）、文字列の検索、現在時刻やその他の要素の参照が可能です。

サポートされている関数の完全なリストが利用可能です。

通常、関数は比較のために数値を返します。 文字列を返す場合は、= および <> 演算子で比較が可能です（例を参照）。

関数パラメータ

関数パラメータでは、以下を指定できます。

• ホストとアイテムキー（ホストアイテムの履歴のみを参照する関数の場合）
• 関数固有のパラメータ
• 他の式（ホストアイテムの履歴を参照する関数では利用できません。例については他の式を参照してください）

ホストとアイテムキーは /host/key の形式で指定できます。
最初のパラメータでホスト名を省略する（つまり function(//key,parameter,...) のように記述する）ことは、特定のコンテキストでのみサポートされています。

• 計算アイテムの計算式内
• 式マクロ内（以下で使用可能）:
  • イベント名フィールド
  • グラフ名
  • "ホスト"および"トリガー"のマップ要素のラベル

これらのコンテキストでは、{HOST.HOST}マクロも使用できます。
イベント名フィールドや"トリガー"マップ要素の場合、トリガー式内の特定のアイテムを参照するために{HOST.HOST<1-9>}を使用できます。
これらのコンテキストでホスト名を省略したり、{HOST.HOST}に置き換えたりした場合、参照はトリガー式内の最初のアイテムまたはグラフの最初のアイテムを指します。
これらのサポートされているコンテキスト以外でトリガー式内のホスト名を省略すると、エラーとなります。
イベント名マクロでのダブルスラッシュの使用例については、例18を参照してください。

参照されるアイテムは、サポートされている状態でなければなりません（nodata()関数のみ、サポートされていないアイテムにも計算されます）。

他のトリガー式を関数パラメータとして使用する場合、トリガー内では履歴関数以外に制限されますが、この制限は計算アイテムには適用されません。

関数固有のパラメータ

関数固有のパラメータはアイテムキーの後に配置され、アイテムキーとはカンマで区切られます。 これらのパラメータの完全なリストについては、サポートされている関数を参照してください。

ほとんどの数値関数は、パラメータとして時間を受け取ります。 秒または時間のサフィックスを使用して時間を指定できます。 ハッシュマーク（#）を前に付けると、パラメータの意味が異なります。

ハッシュマーク付きのパラメータは、last関数では意味が異なり、N番目に前の値を示します。たとえば、値が30, 70, 20, 60, 50（最新から最も古い順）であれば:

• last(/host/key,#2) は '70' を返します
• last(/host/key,#5) は '50' を返します

時間シフト

関数パラメータとして時間または値のカウントを指定する場合、オプションで時間シフトがサポートされています。 このパラメータを使用すると、過去のある期間のデータを参照できます。

時間シフトは now で始まり（現在時刻を指定）、+N<時間単位> または -N<時間単位> を続けてN単位の時間を加算または減算します。

例えば、avg(/host/key,1h:now-1d) は、1日前の1時間の平均値を返します。

絶対時間期間での時間シフト

絶対時間期間は、時間シフトパラメータでサポートされています。例えば、1日の場合は0時から0時、1週間の場合は月曜日から日曜日、1ヶ月の場合は月初から月末までです。

絶対時間期間での時間シフトは now で始まり（現在時刻を指定）、任意の数の時間操作を続けます。/<時間単位> は時間単位の開始と終了を定義します（例：1日の場合は0時から0時）、+N<時間単位> または -N<時間単位> はN単位の時間を加算または減算します。

時間シフトの値は0以上である必要があり、時間期間の最小値は1であることに注意してください。

その他の式

関数のパラメータには、次の構文のように他の式を含めることができます。

min(min(/host/key,1h),min(/host2/key2,1h)*10)

関数がアイテムの履歴を参照する場合、他の式は使用できないことに注意してください。 たとえば、次の構文は許可されていません。

min(/host/key,#5*10)

演算子

トリガーでサポートされている演算子は次のとおりです (実行の優先順位が高い順):

¹ 文字列オペランドは、以下の場合でも数値にキャストされます:

• 他のオペランドが数値の場合
• = または <> 以外の演算子がオペランドに使用されている場合

(キャストに失敗した場合 - 数値オペランドは文字列オペランドにキャストされ、両方のオペランドが文字列として比較されます。)

not、and、or 演算子は大文字と小文字を区別し、小文字でなければなりません。 また、スペースまたは括弧で囲む必要があります。

単項 - および not を除くすべての演算子は、左から右への結合性を持ちます。 単項 - および not は非結合性です（つまり、--1 や not not 1 の代わりに -(-1) や not (not 1) を使用する必要があります）。

評価結果:

• <、<=、>、>=、=、<> 演算子は、指定された関係が真であればトリガー式で '1' を、偽であれば '0' を返します。 少なくとも1つのオペランドがUnknownの場合、結果はUnknownになります。
• and は既知のオペランドの場合、両方のオペランドが '0' と等しくない場合は '1' を返し、それ以外の場合は '0' を返します。不明なオペランドの場合、and は1つのオペランドが '0' と等しい場合のみ '0' を返し、それ以外の場合は 'Unknown' を返します。
• or は既知のオペランドの場合、いずれかのオペランドが '0' と等しくない場合は '1' を返し、それ以外の場合は '0' を返します。不明なオペランドの場合、or は1つのオペランドが '0' と等しくない場合のみ '1' を返し、それ以外の場合は 'Unknown' を返します。
• 論理否定演算子 not の既知のオペランドに対する結果は、オペランドの値が '0' と等しくない場合は '0'、オペランドの値が '0' と等しい場合は '1' です。 不明なオペランドの場合、not は 'Unknown' を返します。

値のキャッシュ

トリガーの評価に必要な値は、Zabbixサーバーによってキャッシュされます。 このため、サーバーの再起動後しばらくの間、トリガーの評価によってデータベースの負荷が高くなります。 アイテムの履歴値が削除された場合（手動またはハウスキーパーによる）、値のキャッシュはクリアされません。そのため、サーバーはトリガー関数で定義された期間より古い値になるか、サーバーが再起動されるまでキャッシュされた値を使用します。

trigger の例

例1

Zabbixサーバーのプロセッサ負荷が高すぎます。

last(/Zabbix server/system.cpu.load[all,avg1])>5

'last()'関数を使用することで、最新の値を参照しています。 /Zabbix server/system.cpu.load[all,avg1]は、監視パラメータの短縮名を示します。 ホストが「Zabbix server」で、監視しているキーが「system.cpu.load[all,avg1]」であることを指定しています。 最後に、>5は、Zabbixサーバーからの最新のプロセッサ負荷測定値が5より大きい場合に、トリガーがPROBLEM状態になることを意味します。

例2

www.example.comが過負荷です。

last(/www.example.com/system.cpu.load[all,avg1])>5 or min(/www.example.com/system.cpu.load[all,avg1],10m)>2 

現在のプロセッサ負荷が5を超えているか、直近10分間のプロセッサ負荷が2を超えていた場合に、この式は真となります。

例3

/etc/passwdが変更されました。

last(/www.example.com/vfs.file.cksum[/etc/passwd],#1)<>last(/www.example.com/vfs.file.cksum[/etc/passwd],#2)

/etc/passwdのチェックサムの前回の値が最新の値と異なる場合、式は真となります。

同様の式は、/etc/passwd、/etc/inetd.conf、/kernelなどの重要なファイルの変更を監視するのに役立ちます。

例4

誰かがインターネットから大きなファイルをダウンロードしています。

min関数の使用例:

min(/www.example.com/net.if.in[eth0,bytes],5m)>100K

この式は、eth0で受信したバイト数が直近5分間で100KBを超えた場合に真となります。

例5

クラスタ化されたSMTPサーバーの両方のノードがダウンしています。

1つの式で2つの異なるホストを使用していることに注意してください:

last(/smtp1.example.com/net.tcp.service[smtp])=0 and last(/smtp2.example.com/net.tcp.service[smtp])=0

この式は、smtp1.example.comとsmtp2.example.comの両方のSMTPサーバーがダウンしている場合に真となります。

例6

Zabbixエージェントをアップグレードする必要があります。

find()関数の使用例:

find(/example.example.com/agent.version,,"like","beta8")=1

Zabbixエージェントのバージョンがbeta8の場合、この式は真となります。

例7

サーバーに到達できません。

count(/example.example.com/icmpping,30m,,"0")>5

この式は、ホスト "example.example.com" が過去30分間に5回以上到達不能であった場合に真となります。

例8

過去3分間にハートビートがありません。

nodata()関数の使用例:

nodata(/example.example.com/tick,3m)=1

このトリガーを利用するには、'tick'をZabbixのトラッパーアイテムとして定義する必要があります。 ホストはzabbix_senderを使用して、このアイテムのデータを定期的に送信する必要があります。 180秒以内にデータが受信されない場合、トリガー値はPROBLEMになります。

注意 'nodata'は任意のアイテムタイプで使用できます。

例9

夜間のCPUアクティビティ。

time()関数の使用例:

min(/Zabbix server/system.cpu.load[all,avg1],5m)>2 and time()<060000

このトリガーは、夜間(00:00 - 06:00)のみ障害状態に変化する可能性があります。

例10

例外を除いて、いつでもCPUアクティビティを監視します。

time()関数とnot演算子の使用例:

min(/zabbix/system.cpu.load[all,avg1],5m)>2
       and not (dayofweek()=7 and time()>230000)
       and not (dayofweek()=1 and time()<010000)

このトリガーは、週の切り替わり時の2時間(日曜日23:00～月曜日01:00)を除き、いつでも障害状態に変化する可能性があります。

例11

クライアントのローカル時刻がZabbixサーバーの時刻と同期しているかどうかを確認します。

fuzzytime()関数の使用例:

fuzzytime(/MySQL_DB/system.localtime,10s)=0

MySQL_DBサーバーとZabbixサーバーのローカル時刻が10秒以上ずれている場合、トリガーは障害状態に変わります。 'system.localtime'は、Zabbixエージェントでパッシブチェックとして設定する必要があります。Zabbix agent 2ではアクティブチェックとして設定することもできます。

例12

今日の平均負荷を昨日の同じ時間の平均負荷と比較します(time shiftとしてnow-1dを使用)。

avg(/server/system.cpu.load,1h)/avg(/server/system.cpu.load,1h:now-1d)>2

このトリガーは、直近1時間の平均負荷が昨日の同じ時間の平均負荷の2倍を超えた場合に発生します。

例13

別のアイテムの値を使用してトリガーの閾値を取得する:

last(/Template PfSense/hrStorageFree[{#SNMPVALUE}])<last(/Template PfSense/hrStorageSize[{#SNMPVALUE}])*0.1

空きストレージが10パーセント未満になるとトリガーが発生します。

例14

評価結果を使用して、しきい値を超えたトリガーの数を取得します。

(last(/server1/system.cpu.load[all,avg1])>5) + (last(/server2/system.cpu.load[all,avg1])>5) + (last(/server3/system.cpu.load[all,avg1])>5)>=2

この式のトリガーのうち少なくとも2つが障害状態の場合にトリガーが発生します。

例15

2つのアイテムの文字列値を比較します - ここでのオペランドは文字列を返す関数です。

問題: 異なるホストでUbuntuのバージョンが異なる場合にアラートを作成する

last(/NY Zabbix server/vfs.file.contents[/etc/os-release])<>last(/LA Zabbix server/vfs.file.contents[/etc/os-release])

例16

2つの文字列値を比較する - オペランドは以下の通りです。

• 文字列を返す関数
• マクロと文字列の組み合わせ

問題: DNSクエリの変更を検出する

アイテムキーは次のとおりです。

net.dns.record[192.0.2.0,{$WEBSITE_NAME},{$DNS_RESOURCE_RECORD_TYPE},2,1]

マクロは次のように定義されています。

{$WEBSITE_NAME} = example.com
       {$DNS_RESOURCE_RECORD_TYPE} = MX

通常は次のように返されます。

example.com           MX       0 mail.example.com

したがって、DNSクエリの結果が期待値から逸脱したかどうかを検出するトリガー式は次のようになります。

last(/Zabbix server/net.dns.record[192.0.2.0,{$WEBSITE_NAME},{$DNS_RESOURCE_RECORD_TYPE},2,1])<>"{$WEBSITE_NAME}           {$DNS_RESOURCE_RECORD_TYPE}       0 mail.{$WEBSITE_NAME}"

2番目のオペランドの周りに引用符があることに注意してください。

例 17

2つの文字列値を比較する - オペランドは以下の通りです:

• 文字列を返す関数
• 特殊文字 \ および " を含む文字列定数

問題: /tmp/hello ファイルの内容が以下と等しいか検出する:

\" //hello ?\"

オプション1) 文字列を直接記述する:

last(/Zabbix server/vfs.file.contents[/tmp/hello])="\\\" //hello ?\\\""

文字列を直接比較する場合、\ および " 文字がエスケープされていることに注意してください。

オプション2) マクロを使用する

{$HELLO_MACRO} = \" //hello ?\"

式では:

last(/Zabbix server/vfs.file.contents[/tmp/hello])={$HELLO_MACRO}

例18

長期的な期間を比較する。

問題: Exchangeサーバーの負荷が先月より10%以上増加した

trendavg(/Exchange/system.cpu.load,1M:now/M)>1.1*trendavg(/Exchange/system.cpu.load,1M:now/M-1M)

また、トリガー設定のイベント名フィールドを使用して、意味のあるアラートメッセージを作成することもできます。たとえば、次のようなメッセージを受け取るには

"Load of Exchange server increased by 24% in July (0.69) comparing to June (0.56)"

イベント名は次のように定義する必要があります。

Load of {HOST.HOST} server increased by {{?100*trendavg(//system.cpu.load,1M:now/M)/trendavg(//system.cpu.load,1M:now/M-1M)}.fmtnum(0)}% in {{TIME}.fmttime(%B,-1M)} ({{?trendavg(//system.cpu.load,1M:now/M)}.fmtnum(2)}) comparing to {{TIME}.fmttime(%B,-2M)} ({{?trendavg(//system.cpu.load,1M:now/M-1M)}.fmtnum(2)})

この種の問題には、トリガー設定で手動クローズを許可することも有用です。

ヒステリシス

単純な閾値ではなく、障害状態と復旧状態の間に間隔が必要な場合があります。 たとえば、サーバールームの温度が20°Cを超えたときに障害を報告し、温度が15°C未満になるまで障害状態を維持したい場合、単純なトリガー閾値を20°Cに設定するだけでは十分ではありません。

代わりに、まず障害イベントのトリガー式（温度が20°Cを超える）を定義する必要があります。 次に、追加の復旧条件（温度が15°C未満）を定義する必要があります。 これは、トリガーを定義する際に追加の復旧式パラメータを定義することで実現します。

この場合、障害の復旧は2段階で行われます。

• まず、障害式（温度が20°Cを超える）がFALSEと評価される必要があります
• 次に、復旧式（温度が15°C未満）がTRUEと評価される必要があります

復旧式は、最初に障害イベントが解決された場合にのみ評価されます。

例1

サーバールームの温度が高すぎます。

障害の式:

last(/server/temp)>20

復旧の式:

last(/server/temp)<=15

例2

空きディスク容量が少なすぎます。

障害の条件式: 直近5分間で10GB未満

max(/server/vfs.fs.size[/,free],5m)<10G

復旧の条件式: 直近10分間で40GBを超える

min(/server/vfs.fs.size[/,free],10m)>40G

オペランドが不明な場合の式

一般的に、式の中でオペランドが不明（サポートされていないアイテムなど）な場合、トリガー値は即座に Unknown になります。

ただし、場合によっては不明なオペランド（サポートされていないアイテム、関数エラー）が式の評価に認められることがあります。

• nodata() 関数は、参照されるアイテムがサポートされているかどうかに関係なく評価されます。
• OR および AND を含む論理式は、不明なオペランドに関係なく、2つの場合に既知の値に評価できます。
  • ケース1: "1 or some_function(unsupported_item1) or some_function(unsupported_item2) or ..." は既知の結果（'1' または "Problem"）に評価できます。
  • ケース2: "0 and some_function(unsupported_item1) and some_function(unsupported_item2) and ..." は既知の結果（'0' または "OK"）に評価できます。
    Zabbixは、このような論理式をサポートされていないアイテムを不明なオペランドとして評価しようとします。 上記2つのケースでは既知の値（それぞれ "Problem" または "OK"）が生成されますが、それ以外のすべての場合、トリガーは Unknown に評価されます。
• サポートされているアイテムに対する関数評価がエラーになった場合、関数値は Unknown となり、以降の式評価で不明なオペランドとして扱われます。

不明なオペランドが「消える」可能性があるのは、上記のような論理式の場合のみです。 算術式では、不明なオペランドは常に結果を Unknown に導きます（0による除算を除く）。

複数のサポートされていないアイテムを含むトリガー式が Unknown に評価された場合、フロントエンドのエラーメッセージは最後に評価されたサポートされていないアイテムを参照します。