1 Correlació d'esdeveniments basats en triggers

Vista general

La correlació d'esdeveniments basada en triggers us permet correlacionar problemes separats informats per un trigger.

Tot i que, en general, un esdeveniment OK pot tancar tots els esdeveniments problemàtics creats per un trigger, hi ha casos en què cal una vista més detallada. Per exemple, en monitorar els fitxers de registre, és possible que vulgueu descobrir determinats problemes en un fitxer de registre i tancar-los individualment en lloc de tots plegats.

Aquest és el cas dels triggers que tenen activat el mode de generació d'esdeveniments de tipus PROBLEMA a DIVERSOS. Aquests triggers s'empren normalment per al monitoratge de registres, la gestió de trampes, etc.

A Zabbix és possible enllaçar esdeveniments problemàtics basats en etiquetatge. Les etiquetes s'empren per extreure valors i crear identificació per a esdeveniments problemàtics. Aprofitant això, també es poden tancar els problemes individualment en funció de l'etiqueta corresponent.

En altres paraules, el mateix trigger pot crear esdeveniments separats identificats per l'etiqueta d'esdeveniment. Per tant, els esdeveniments problemàtics es poden identificar un per un i tancar-los per separat basant-se en la identificació de l'etiqueta d'esdeveniment.

Com funciona tot plegat

Al monitoratge del registre, podeu trobar línies semblants a aquestes:

 Línia 1: s'ha aturat l'aplicació 1
        Línia 2: s'ha aturat l'aplicació 2
        Línia 3: s'ha reiniciat l'aplicació 1
        Línia 4: s'ha reiniciat l'aplicació 2

La idea de la correlació d'esdeveniments és poder fer coincidir l'esdeveniment problema de Línia 1 amb la resolució de Línia 3 i l'esdeveniment problema Línia 2 amb la resolució de Línia 4, i tancar aquests problemes un per un:

 Línia 1: s'ha aturat l'aplicació 1
        Línia 3: s'ha reiniciat l'aplicació 1 #problema de la línia 1 tancada
       
        Línia 2: s'ha aturat l'aplicació 2
        Línia 4: s'ha reiniciat l'aplicació 2 #problema de la línia 2 tancada

Per fer-ho, heu d'etiquetar aquests esdeveniments associats com, per exemple, "Aplicació 1" i "Aplicació 2". Això es pot fer aplicant una expressió regular a la línia de registre per extreure el valor de l'etiqueta. Aleshores, quan es creen els esdeveniments, s'etiqueten "Aplicació 1" i "Aplicació 2" respectivament i el problema es pot associar amb la resolució.

Configuració

Element

Per començar, voleu poder configurar un element que monitora un arxiu de registre, per exemple:

log[/var/log/syslog]

Una vegada l'element és configurat, espereu un minut que les modificacions de configuració siguin recuperades, i accediu a les Darreres dades per assegurar-vos que l'element comença a recollir dades.

Trigger

Quan l'element funciona, heu de configurar un trigger. És important decidir quines entrades del fitxer de registre hem de vigilar. Per exemple, el trigger següent cercarà una cadena com ara "Stopping" per indicar problemes potencials:

 find(/El meu equip/log[/var/log/syslog],,"regexp","Stopping")=1

A continuació, definiu una expressió de recuperació. La següent expressió de recuperació resoldrà tots els problemes si troba una línia de registre que conté la cadena "Starting":

 find(/El meu equip/log[/var/log/syslog],,"regexp","Starting")=1

Com que no volem això, és important assegurar-nos d'alguna manera que els problemes d'arrel corresponents siguin tancats, no només tots els problemes. Aquí és on l'etiquetatge pot ajudar.

Els problemes i les resolucions es poden fer coincidir especificant una etiqueta a la configuració del trigger. S'han de fer els paràmetres següents:

• Mode de generació d'esdeveniments de problemes: Múltiples
• Es tanca un esdeveniment OK: Tots els problemes si els valors de l'etiqueta coincideixen
• Introduïu el nom de l'etiqueta per a la concordança d'esdeveniments

• configureu les etiquetes per extreure els valors de les etiquetes de les línies de registre

Si s'ha configurat correctament, podreu veure els esdeveniments problemàtics etiquetats per aplicació i corresponents a la seva resolució a Monitoratge → Problemes.

• Amb dues aplicacions escrivint missatges d'error i de recuperació al mateix fitxer de registre, un usuari pot decidir emprar dues etiquetes Aplicació al mateix trigger amb diferents valors d'etiquetes emprant expressions regulars separades amb valors per extreure els noms de, per exemple, l'aplicació A i l'aplicació B de la macro {ITEM.VALUE} (per exemple, quan els formats dels missatges són diferents). Tanmateix, és possible que això no funcioni com s'esperava si no hi ha cap coincidència d'expressió regular. Les expressions regulars no coincidents produiran valors d'etiqueta buits i un únic valor d'etiqueta buit en els esdeveniments del problema i OK és suficient per correlacionar-los. Per tant, un missatge de recuperació de l'aplicació A pot tancar accidentalment un missatge d'error de l'aplicació B.

• Les etiquetes i els valors d'etiquetes reals només es fan visibles quan s'activa un trigger. Si l'expressió regular emprada no és vàlida, es substitueix en silenci per una cadena *DESCONEGUDA*. Si es perd l'esdeveniment de problema inicial amb un valor d'etiqueta *DESCONEGUDA*, els esdeveniments OK posteriors poden aparèixer amb el mateix valor de l'etiqueta *DESCONEGUDA* que poden tancar esdeveniments de problema que no s'haurien de tancar.

• Si un usuari empra la macro {ITEM.VALUE} sense funcions de macro com a valor d'etiqueta, s'aplica el límit de 255 caràcters. Quan els missatges de registre són llargs i els primers 255 caràcters no són específics, això també pot donar lloc a etiquetes d'esdeveniments similars per a problemes no relacionats.