2 Correlación de eventos globales
Descripción general
La correlación global de eventos permite abarcar todas las métricas monitorizadas por Zabbix y crear correlaciones.
Es posible correlacionar eventos creados por triggers completamente diferentes y aplicar las mismas operaciones a todos ellos. ¡Creando reglas de correlación inteligentes es posible ahorrarse miles de notificaciones repetitivas y centrarse en las causas raíz de un problema!
La correlación global de eventos es un mecanismo potente que permite desvincularse de la lógica de problema y resolución basada en un único trigger. Hasta ahora, un único evento de problema era creado por un trigger y dependíamos de ese mismo trigger para la resolución del problema. No podíamos resolver un problema creado por un trigger con otro trigger. Pero con la correlación de eventos basada en etiquetas de eventos, sí podemos.
Por ejemplo, un trigger de log puede informar de problemas de aplicación, mientras que un trigger de sondeo puede informar de que la aplicación está activa y funcionando. Aprovechando las etiquetas de eventos, puede etiquetar el trigger de log como status:down y el trigger de sondeo como status:up. Luego, en una regla de correlación global, puede relacionar estos triggers y asignar una operación apropiada a esta correlación, como cerrar los eventos antiguos.
En otro uso, la correlación global puede identificar triggers similares y aplicarles la misma operación. ¿Qué pasaría si pudiéramos recibir solo un informe de problema por problema de puerto de red? No es necesario informar de todos ellos. Eso también es posible con la correlación global de eventos.
La correlación global de eventos se configura en reglas de correlación. Una regla de correlación define cómo se emparejan los nuevos eventos de problema con los eventos de problema existentes y qué hacer en caso de coincidencia (cerrar el nuevo evento, cerrar los eventos antiguos coincidentes generando los correspondientes eventos OK). Si un problema se cierra por correlación global, se informa en la columna Info de Monitoring > Problems.
La configuración de reglas de correlación global solo está disponible para usuarios de nivel Super Admin.
La correlación de eventos debe configurarse con mucho cuidado, ya que puede afectar negativamente al rendimiento del procesamiento de eventos o, si se configura incorrectamente, cerrar más eventos de los previstos (en el peor de los casos, incluso todos los eventos de problema podrían cerrarse).
Para configurar la correlación global de forma segura, observe los siguientes consejos importantes:
- Reduzca el alcance de la correlación. Establezca siempre una etiqueta única para el nuevo evento que se empareja con los eventos antiguos y utilice la condición de correlación New event tag name.
- Añada una condición explícita de evento antiguo al utilizar Close old events. Añada siempre al menos una condición de Old event (por ejemplo, Old event tag name, Old event tag value o Event tag pair) al seleccionar Close old events; de lo contrario, la regla podría coincidir y cerrar eventos de problema existentes no relacionados (en el peor de los casos, todos los problemas). Prefiera Event tag pair para hacer coincidir valores en tiempo de ejecución (host:port, id de sesión, etc.), y acote aún más la coincidencia por host o grupo de hosts cuando sea posible.
- Evite utilizar nombres de etiquetas comunes que puedan acabar siendo utilizados por diferentes configuraciones de correlación.
- Mantenga el número de reglas de correlación limitado a las que realmente necesita.
Consulte también: problemas conocidos.
Configuración
Para configurar reglas de correlación de eventos globalmente:
- Vaya a Recolección de datos > Correlación de eventos
- Haga clic en Crear correlación de eventos a la derecha (o en el nombre de la correlación para editar una regla existente)
- Ingrese los parámetros de la regla de correlación en el formulario
Todos los campos obligatorios están marcados con un asterisco rojo.
| Parámetro | Descripción |
|---|---|
| Nombre | Nombre único de la regla de correlación. |
| Tipo de cálculo | Las siguientes opciones de cálculo de condiciones están disponibles: Y - todas las condiciones deben cumplirse O - basta con que se cumpla una condición Y/O - Y con diferentes tipos de condición y O con el mismo tipo de condición Expresión personalizada - una fórmula de cálculo definida por el usuario para evaluar las condiciones de la acción. Debe incluir todas las condiciones (representadas como letras mayúsculas A, B, C, ...) y puede incluir espacios, tabulaciones, paréntesis ( ), and (sensible a mayúsculas), or (sensible a mayúsculas), not (sensible a mayúsculas). |
| Condiciones | Lista de condiciones. Vea más abajo para detalles sobre cómo configurar una condición. |
| Descripción | Descripción de la regla de correlación. |
| Operaciones | Marque la casilla de la operación a realizar cuando el evento sea correlacionado. Las siguientes operaciones están disponibles: Cerrar eventos antiguos - cierra eventos antiguos cuando ocurre un nuevo evento. Siempre agregue una condición basada en el evento antiguo cuando utilice la operación Cerrar eventos antiguos o todos los problemas existentes podrían cerrarse. Cerrar nuevo evento - cierra el nuevo evento cuando ocurre. ¡Advertencia! No deje vacías las condiciones de evento antiguo/nuevo al usar Cerrar eventos antiguos/Cerrar nuevo evento. Si selecciona la operación Cerrar eventos antiguos sin agregar una condición que coincida con el evento antiguo, Zabbix puede hacer coincidir todos los eventos antiguos existentes y cerrarlos. Siempre agregue una condición explícita de evento antiguo (por ejemplo, Nombre de etiqueta de evento antiguo o Par de etiquetas de evento) al usar Cerrar eventos antiguos. Por ejemplo, una regla que solo utiliza una Condición de evento nuevo y la operación Cerrar eventos antiguos coincidirá con todos los eventos antiguos que cumplan con los criterios de evento antiguo (que faltan), cerrando efectivamente los problemas antiguos. |
| Habilitado | Si marca esta casilla, la regla de correlación estará habilitada. |
Para configurar los detalles de una nueva condición, haga clic en 
en el bloque de Condiciones.
Se abrirá una ventana emergente donde podrá editar los detalles de la condición.
| Parámetro | Descripción |
|---|---|
| Nueva condición | Seleccione una condición para correlacionar eventos. Nota que si no se especifica una condición de evento antiguo, todos los eventos antiguos pueden coincidir y cerrarse. De manera similar, si no se especifica una condición de evento nuevo, todos los eventos nuevos pueden coincidir y cerrarse. Las siguientes condiciones están disponibles: Nombre de etiqueta de evento antiguo - especifique el nombre de la etiqueta del evento antiguo para hacer coincidir. Nombre de etiqueta de evento nuevo - especifique el nombre de la etiqueta del evento nuevo para hacer coincidir. Grupo de hosts de evento nuevo - especifique el grupo de hosts del evento nuevo para hacer coincidir. Par de etiquetas de evento - especifique el nombre de la etiqueta del evento nuevo y el nombre de la etiqueta del evento antiguo para hacer coincidir. En este caso, habrá coincidencia si los valores de las etiquetas en ambos eventos coinciden. Los nombres de las etiquetas no necesitan coincidir. Esta opción es útil para hacer coincidir valores en tiempo de ejecución, que pueden no ser conocidos en el momento de la configuración (ver también Ejemplo). Valor de etiqueta de evento antiguo - especifique el nombre y el valor de la etiqueta del evento antiguo para hacer coincidir, utilizando los siguientes operadores: igual - tiene el valor de la etiqueta del evento antiguo no es igual - no tiene el valor de la etiqueta del evento antiguo contiene - tiene la cadena en el valor de la etiqueta del evento antiguo no contiene - no tiene la cadena en el valor de la etiqueta del evento antiguo Valor de etiqueta de evento nuevo - especifique el nombre y el valor de la etiqueta del evento nuevo para hacer coincidir, utilizando los siguientes operadores: igual - tiene el valor de la etiqueta del evento nuevo no es igual - no tiene el valor de la etiqueta del evento nuevo contiene - tiene la cadena en el valor de la etiqueta del evento nuevo no contiene - no tiene la cadena en el valor de la etiqueta del evento nuevo |
Debido a que es posible una mala configuración, cuando se pueden crear etiquetas de eventos similares para problemas no relacionados, ¡revise los casos que se describen a continuación!
- Las etiquetas y valores de etiquetas reales solo se hacen visibles cuando se dispara un trigger. Si la expresión regular utilizada no es válida, se reemplaza silenciosamente por una cadena *UNKNOWN*. Si se omite el evento de problema inicial con un valor de etiqueta *UNKNOWN*, pueden aparecer eventos OK posteriores con el mismo valor de etiqueta *UNKNOWN* que pueden cerrar eventos de problema que no deberían haberse cerrado.
- Si un usuario utiliza la macro {ITEM.VALUE} sin funciones de macro como valor de la etiqueta, se aplica la limitación de 255 caracteres. Cuando los mensajes de registro son largos y los primeros 255 caracteres no son específicos, esto también puede resultar en etiquetas de eventos similares para problemas no relacionados.
Ejemplo
Detener eventos de problemas repetitivos desde el mismo puerto de red.
Esta regla de correlación global correlacionará los problemas si los valores de las etiquetas host y port existen en el trigger y son los mismos en el evento original y en el nuevo.
La operación cerrará los nuevos eventos de problemas en el mismo puerto de red, manteniendo solo el problema original abierto.