Esta é uma tradução da página de documentação original em inglês. Ajude-nos a torná-la melhor.

2 Correlação de eventos global

Visão geral

A correlação global de eventos permite alcançar todas as métricas monitoradas pelo Zabbix e criar correlações.

É possível correlacionar eventos criados por triggers e aplicar as mesmas operações a todos eles. Ao criar regras de correlação inteligentes é realmente possível salvar a si mesmo de milhares de notificações repetitivas e foco nas causas raiz de um problema!

A correlação de eventos globais é um mecanismo poderoso, que permite desamarre-se do problema baseado em um trigger e da lógica de resolução. assim até agora, um único evento de problema foi criado por um trigger e for dependente desse mesmo trigger para a resolução do problema. Nós não pudemos resolver um problema criado por um trigger com outro trigger. Mas com correlação de eventos com base na marcação de eventos, podemos.

Por exemplo, um log de trigger pode relatar problemas de aplicativo, enquanto um o triggerde pesquisa pode relatar que o aplicativo está funcionando. Tirando vantagem das tags de evento, você pode marcar o triggerde log como Status: Down enquanto marca o trigger de checagem como Status: Up. Então, em um mundo regra de correlação, você pode relacionar esses triggers e atribuir um operação a essa correlação, como fechar os eventos antigos.

Em outro uso, a correlação global pode identificar triggers semelhantes e aplicar a mesma operação a eles. E se pudéssemos obter apenas um problema relatório por problema de porta de rede? Não há necessidade de denunciá-los todos. Aquilo é também é possível com a correlação de eventos globais.

A correlação de eventos globais é configurada em regras de correlação. Uma regra de correlação define como os novos eventos de problema são emparelhados com eventos de problemas existentes e o que fazer em caso de correspondência (fecha o novo evento, fecha eventos antigos correspondentes gerando eventos correspondentes como OK ). Se um problema for fechado por correlação global, ele será relatado no Coluna de Info em MonitoramentoProblemas.

A configuração de regras de correlação global está disponível apenas para usuários de nível super administrador.

A correlação de eventos deve ser configurada muito com cuidado, pois pode afetar negativamente o desempenho do processamento de eventos ou, se configurado incorretamente, feche mais eventos do que o pretendido (no pior caso até mesmo todos os eventos de problema podem ser fechados).

Para configurar a correlação global com segurança, observe o seguinte dicas importantes:

  • Reduza o escopo de correlação. Sempre defina uma tag exclusiva para o novo evento que está emparelhado com eventos antigos e use a Nova tag de evento condição de correlação;
  • Adicione uma condição com base no evento antigo ao usar o Operação de fechar evento antigo (ou então todos os problemas existentes podem ser fechados);
  • Evite usar nomes de tags comuns que podem acabar sendo usados por diferentes configurações de correlação;
  • Mantenha o número de regras de correlação limitadas àquelas que você realmente necessidade.

Veja também: questões frequentes.

Configuration

To configure event correlation rules globally:

  • Go to ConfigurationEvent correlation
  • Click on Create correlation to the right (or on the correlation name to edit an existing rule)
  • Enter parameters of the correlation rule in the form

correlation_rule.png

All mandatory input fields are marked with a red asterisk.

Parameter Description
Name Unique correlation rule name.
Type of calculation The following options of calculating conditions are available:
And - all conditions must be met
Or - enough if one condition is met
And/Or - AND with different condition types and OR with the same condition type
Custom expression - a user-defined calculation formula for evaluating action conditions. It must include all conditions (represented as uppercase letters A, B, C, ...) and may include spaces, tabs, brackets ( ), and (case sensitive), or (case sensitive), not (case sensitive).
Conditions List of conditions. See below for details on configuring a condition.
Description Correlation rule description.
Operations Mark the checkbox of the operation to perform when event is correlated. The following operations are available:
Close old events - close old events when a new event happens. Always add a condition based on the old event when using the Close old events operation or all existing problems could be closed.
Close new event - close the new event when it happens
Enabled If you mark this checkbox, the correlation rule will be enabled.

To configure details of a new condition, click on in the Conditions block. A popup window will open where you can edit the condition details.

Parameter Description
New condition Select a condition for correlating events.
Note that if no old event condition is specified, all old events may be matched and closed. Similarly if no new event condition is specified, all new events may be matched and closed.
The following conditions are available:
Old event tag - specify the old event tag for matching.
New event tag - specify the new event tag for matching.
New event host group - specify the new event host group for matching.
Event tag pair - specify new event tag and old event tag for matching. In this case there will be a match if the values of the tags in both events match. Tag names need not match.
This option is useful for matching runtime values, which may not be known at the time of configuration (see also Example 1).
Old event tag value - specify the old event tag name and value for matching, using the following operators:
equals - has the old event tag value
does not equal - does not have the old event tag value
contains - has the string in the old event tag value
does not contain - does not have the string in the old event tag value
New event tag value - specify the new event tag name and value for matching, using the following operators:
equals - has the new event tag value
does not equal - does not have the new event tag value
contains - has the string in the new event tag value
does not contain - does not have the string in the new event tag value

Because misconfiguration is possible, when similar event tags may be created for unrelated problems, please review the cases outlined below!

  • Actual tags and tag values only become visible when a trigger fires. If the regular expression used is invalid, it is silently replaced with an *UNKNOWN* string. If the initial problem event with an *UNKNOWN* tag value is missed, there may appear subsequent OK events with the same *UNKNOWN* tag value that may close problem events which they shouldn't have closed.
  • If a user uses the {ITEM.VALUE} macro without macro functions as the tag value, the 255-character limitation applies. When log messages are long and the first 255 characters are non-specific, this may also result in similar event tags for unrelated problems.
Example 1

Stop repetitive problem events from the same network port.

This global correlation rule will correlate problems if Host and Port tag values exist on the trigger and they are the same in the original event and the new one.

The operation will close new problem events on the same network port, keeping only the original problem open.