Documentation
Table of Contents
2 Globális eseménykorreláció
Áttekintés
A globális eseménykorreláció lehetővé teszi az összes megfigyelt mérőszám elérését Zabbix által, és hozzon létre összefüggéseket.
Lehetséges összefüggésbe hozni a teljesen különböző események által létrehozott eseményeket triggereket, és ugyanazokat a műveleteket alkalmazza mindegyikre. A teremtéssel intelligens korrelációs szabályokkal valójában meg lehet menteni magát több ezer ismétlődő értesítéstől, és összpontosítson az a probléma!
A globális eseménykorreláció egy erőteljes mechanizmus, amely lehetővé teszi függetlenítsd magad az egy trigger alapú probléma- és megoldáslogikától. Így eddig egyetlen problémaeseményt hozott létre egyetlen trigger, és mi is az voltunk a problémamegoldás ugyanazon triggerétől függ. nem tudtunk oldja meg az egyik trigger által okozott problémát egy másik triggerrel. De azzal esemény címkézésen alapuló eseménykorrelációt, tudjuk.
Például egy naplóindító jelenthet alkalmazási problémákat, míg a lekérdezési trigger jelezheti, hogy az alkalmazás üzemben van és fut. Fogadás Az eseménycímkék előnye, hogy a naplóindítót Állapot: Le miközben a lekérdezési triggert Status: Up néven jelöli meg. Aztán globálisan korrelációs szabályt össze tudja kapcsolni ezeket a triggereket, és hozzárendelheti a megfelelőt művelet ehhez a korrelációhoz, mint például a régi események lezárása.
Egy másik felhasználási módban a globális korreláció képes azonosítani a hasonló triggereket és ugyanazt a műveletet alkalmazza rájuk. Mi lenne, ha csak egy problémánk lenne hálózati portonkénti hibajelentés? Nem kell mindegyiket jelenteni. Azaz globális eseménykorrelációval is lehetséges.
A globális eseménykorreláció a korrelációs szabályokban van konfigurálva. A a korrelációs szabály határozza meg, hogy az új problémaesemények hogyan párosuljanak meglévő problémás események és mit kell tenni egyezés esetén (zárja be az új esemény, zárja be az egyező régi eseményeket megfelelő OK események generálásával). Ha egy problémát globális korreláció zár le, azt a jelentés tartalmazza Információ a Monitoring → Problémák oszlopában.
A globális korrelációs szabályok konfigurálása kiemelt rendszergazdai szinten érhető el csak a felhasználók.
Az eseménykorrelációt nagyon be kell állítani óvatosan, mivel negatívan befolyásolhatja az eseményfeldolgozási teljesítményt, vagy ha rosszul van konfigurálva, zárjon be több eseményt a tervezettnél (a legrosszabb esetben akár minden problémás eseményt is le lehetne zárni).
A globális korreláció biztonságos konfigurálásához vegye figyelembe a következőket fontos tippek:
- Csökkentse a korrelációs hatókört. Mindig állítson be egyedi címkét az újhoz esemény, amely párosítva van a régi eseményekkel, és használja az Új eseménycímkét korrelációs feltétel;
- Adjon hozzá egy feltételt a régi esemény alapján a Régi bezárás használatakor esemény művelet (vagy minden létező probléma lezárható);
- Kerülje el a közös címkenevek használatát, amelyeket végül különböző címkenevek használnak korrelációs konfigurációk;
- A korrelációs szabályok számát korlátozza azokra, amelyekre valóban szüksége van szükség.
Lásd még: ismert issues.
Configuration
To configure event correlation rules globally:
- Go to Configuration → Event correlation
- Click on Create correlation to the right (or on the correlation name to edit an existing rule)
- Enter parameters of the correlation rule in the form
All mandatory input fields are marked with a red asterisk.
| Parameter | Description |
|---|---|
| Name | Unique correlation rule name. |
| Type of calculation | The following options of calculating conditions are available: And - all conditions must be met Or - enough if one condition is met And/Or - AND with different condition types and OR with the same condition type Custom expression - a user-defined calculation formula for evaluating action conditions. It must include all conditions (represented as uppercase letters A, B, C, ...) and may include spaces, tabs, brackets ( ), and (case sensitive), or (case sensitive), not (case sensitive). |
| Conditions | List of conditions. See below for details on configuring a condition. |
| Description | Correlation rule description. |
| Operations | Mark the checkbox of the operation to perform when event is correlated. The following operations are available: Close old events - close old events when a new event happens. Always add a condition based on the old event when using the Close old events operation or all existing problems could be closed. Close new event - close the new event when it happens |
| Enabled | If you mark this checkbox, the correlation rule will be enabled. |
To configure details of a new condition, click on 
in the Conditions block. A popup window will open where you can edit the condition details.
| Parameter | Description |
|---|---|
| New condition | Select a condition for correlating events. Note that if no old event condition is specified, all old events may be matched and closed. Similarly if no new event condition is specified, all new events may be matched and closed. The following conditions are available: Old event tag - specify the old event tag for matching. New event tag - specify the new event tag for matching. New event host group - specify the new event host group for matching. Event tag pair - specify new event tag and old event tag for matching. In this case there will be a match if the values of the tags in both events match. Tag names need not match. This option is useful for matching runtime values, which may not be known at the time of configuration (see also Example 1). Old event tag value - specify the old event tag name and value for matching, using the following operators: equals - has the old event tag value does not equal - does not have the old event tag value contains - has the string in the old event tag value does not contain - does not have the string in the old event tag value New event tag value - specify the new event tag name and value for matching, using the following operators: equals - has the new event tag value does not equal - does not have the new event tag value contains - has the string in the new event tag value does not contain - does not have the string in the new event tag value |
Because misconfiguration is possible, when similar event tags may be created for unrelated problems, please review the cases outlined below!
- Actual tags and tag values only become visible when a trigger fires. If the regular expression used is invalid, it is silently replaced with an *UNKNOWN* string. If the initial problem event with an *UNKNOWN* tag value is missed, there may appear subsequent OK events with the same *UNKNOWN* tag value that may close problem events which they shouldn't have closed.
- If a user uses the {ITEM.VALUE} macro without macro functions as the tag value, the 255-character limitation applies. When log messages are long and the first 255 characters are non-specific, this may also result in similar event tags for unrelated problems.
1. példa
Állítsa le az ismétlődő problémás eseményeket ugyanarról a hálózati portról.
Ez a globális korrelációs szabály korrelálja a problémákat, ha a Host és A Port címkeértékek léteznek a triggerben, és megegyeznek a az eredeti és az új esemény.
A művelet lezárja az új problémás eseményeket ugyanazon a hálózati porton, csak az eredeti problémát tartva nyitva.