2 全局事件关联
概述
全局事件关联允许跨越 Zabbix 监控的所有指标创建关联。
可以对由完全不同的触发器创建的事件进行关联,并对它们全部应用相同的操作。 通过创建智能关联规则,实际上可以让您免于收到成千上万条重复通知,并将注意力集中在问题的根本原因上!
全局事件关联是一种强大的机制,它使您能够摆脱基于单个触发器的问题与恢复逻辑。 到目前为止,单个问题事件由一个触发器创建,而问题恢复也依赖于同一个触发器。 我们无法使用另一个触发器来恢复由某个触发器创建的问题。 但借助基于事件标签的事件关联,这一点是可以实现的。
例如,日志触发器可能会报告应用程序问题,而轮询触发器可能会报告应用程序处于正常运行状态。 利用事件标签,您可以将日志触发器标记为 status:down,同时将轮询触发器标记为 status:up。 然后,在全局关联规则中,您可以将这些触发器关联起来,并为该关联指定适当的操作,例如关闭旧事件。
在另一种用法中,全局关联可以识别相似的触发器,并对它们应用相同的操作。 如果每个网络端口问题我们只收到一条问题报告,会怎样?没有必要把它们全部报告出来。 这同样可以通过全局事件关联实现。
全局事件关联在 关联规则 中进行配置。 关联规则定义了如何将新的问题事件与现有的问题事件配对,以及在匹配时执行什么操作(关闭新事件,或通过生成相应的 OK 事件来关闭匹配的旧事件)。 如果某个问题通过全局关联被关闭,则会在 监控 > 问题 的 信息 列中显示。
只有超级管理员级别的用户才能配置全局关联规则。
必须非常谨慎地配置事件关联,因为它可能会对事件处理性能产生负面影响,或者在配置错误时关闭超出预期数量的事件(在最坏情况下,甚至可能关闭所有问题事件)。
要安全地配置全局关联,请遵循以下重要提示:
- 缩小关联范围。 始终为与旧事件配对的新事件设置唯一标签,并使用 新事件标签名称 关联条件。
- 使用 关闭旧事件 时添加显式旧事件条件。 选择 关闭旧事件 时,始终至少添加一个 旧事件 条件(例如 旧事件标签名称、旧事件标签值 或 事件标签对)——否则,该规则可能会匹配并关闭不相关的现有问题事件(在最坏情况下,可能关闭所有问题)。 对于匹配运行时值(host:port、session id 等),优先使用 事件标签对,并在可能时通过主机或主机组进一步缩小匹配范围。
- 避免使用可能最终被不同关联配置使用的通用标签名称。
- 将关联规则的数量限制为真正需要的那些。
另请参见:已知问题。
配置
要全局配置事件关联规则:
- 转到 Data collection > Event correlation
- 单击右侧的 Create event correlation(或单击关联名称以编辑现有规则)
- 在表单中输入关联规则的参数
所有必填输入字段都用红色星号标记。
| Parameter | Description |
|---|---|
| Name | 唯一的关联规则名称。 |
| Type of calculation | 可用的条件计算选项如下: And - 必须满足所有条件 Or - 满足其中一个条件即可 And/Or - 不同条件类型之间使用 AND,相同条件类型之间使用 OR Custom expression - 用户自定义的计算公式,用于评估操作条件。它必须包含所有条件(以大写字母 A、B、C、... 表示),并且可以包含空格、制表符、括号 ( )、and(区分大小写)、or(区分大小写)、not(区分大小写)。 |
| Conditions | 条件列表。有关如何配置条件的详细信息,请参见下文。 |
| Description | 关联规则描述。 |
| Operations | 勾选在事件发生关联时要执行的操作。可用的操作如下: Close old events - 当新事件发生时关闭旧事件。使用 Close old events 操作时,始终要添加一个基于旧事件的条件,否则所有现有问题都可能被关闭。 Close new event - 当新事件发生时关闭该新事件。 Warning! 使用 Close old events/Close new event 时,不要将旧/新事件条件留空。如果在未添加匹配旧事件的条件的情况下选择 Close old events 操作,Zabbix 可能会匹配所有现有旧事件并将其关闭。使用 Close old events 时,始终要添加明确的旧事件条件(例如,Old event tag name 或 Event tag pair)。例如,仅使用 New event condition 和 Close old events operation 的规则将匹配所有符合(缺失的)旧事件条件的旧事件,从而实际上关闭旧问题。 |
| Enabled | 如果勾选此复选框,将启用该关联规则。 |
要配置新条件的详细信息,请单击 Conditions 区块中的 
。
将打开一个弹出窗口,您可以在其中编辑条件详细信息。
| Parameter | Description |
|---|---|
| New condition | 选择一个用于关联事件的条件。 注意,如果未指定旧事件条件,可能会匹配并关闭所有旧事件。同样,如果未指定新事件条件,可能会匹配所有新事件。 可用的条件如下: Old event tag name - 指定用于匹配的旧事件标签名称。 New event tag name - 指定用于匹配的新事件标签名称。 New event host group - 指定用于匹配的新事件主机组。 Event tag pair - 指定用于匹配的新事件标签名称和旧事件标签名称。在这种情况下,如果两个事件中标签的值匹配,则视为匹配。标签名称不必匹配。 此选项适用于匹配运行时值,这些值在配置时可能尚未知晓(另请参见示例)。 Old event tag value - 使用以下运算符指定用于匹配的旧事件标签名称和值: equals - 具有旧事件标签值 does not equal - 不具有旧事件标签值 contains - 旧事件标签值中包含该字符串 does not contain - 旧事件标签值中不包含该字符串 New event tag value - 使用以下运算符指定用于匹配的新事件标签名称和值: equals - 具有新事件标签值 does not equal - 不具有新事件标签值 contains - 新事件标签值中包含该字符串 does not contain - 新事件标签值中不包含该字符串 |
由于可能存在配置错误,当类似的事件标签可能会为无关问题创建时,请检查下面列出的情况!
- 只有在触发器触发时,实际标签和值才会变得可见。 如果所使用的正则表达式无效,它会被静默替换为 *UNKNOWN* 字符串。 如果带有 *UNKNOWN* 标签值的初始问题事件被遗漏,后续可能会出现具有相同 *UNKNOWN* 标签值的 OK 事件,而这些事件可能会关闭本不应被关闭的问题事件。
- 如果用户将 {ITEM.VALUE} 宏不带宏函数作为标签值,则适用 255 个字符的限制。 当日志消息很长且前 255 个字符不具特异性时,这也可能导致无关问题出现相似的事件标签。
示例
阻止来自同一网络端口的重复问题事件。
如果触发器上存在 主机 和 port 标签值,并且这些值在原始事件和新事件中相同,则此全局事件关联规则将对问题进行关联。
该操作将关闭同一网络端口上的新问题事件,仅保留原始问题处于打开状态。