2 Globale Ereigniskorrelation
Übersicht
Die globale Ereigniskorrelation ermöglicht es, über alle von Zabbix überwachten Metriken hinweg Korrelationen zu erstellen.
Es ist möglich, Ereignisse zu korrelieren, die von völlig unterschiedlichen Auslösern erstellt wurden, und auf sie alle dieselben Operationen anzuwenden. Durch das Erstellen intelligenter Korrelationsregeln können Sie sich tatsächlich Tausende sich wiederholender Benachrichtigungen ersparen und sich auf die eigentlichen Ursachen eines Problems konzentrieren!
Die globale Ereigniskorrelation ist ein leistungsfähiger Mechanismus, der es Ihnen ermöglicht, sich von einer problem- und lösungslogik zu lösen, die auf einem einzelnen Auslöser basiert. Bisher wurde ein einzelnes Problemereignis von einem Auslöser erstellt, und wir waren für die Problemlösung von genau diesem Auslöser abhängig. Wir konnten ein von einem Auslöser erstelltes Problem nicht mit einem anderen Auslöser lösen. Mit einer auf Ereignis-Tags basierenden Ereigniskorrelation ist dies jedoch möglich.
Beispielsweise kann ein Log-Auslöser Anwendungsprobleme melden, während ein Polling-Auslöser meldet, dass die Anwendung betriebsbereit ist. Unter Nutzung von Ereignis-Tags können Sie den Log-Auslöser mit status:down und den Polling-Auslöser mit status:up kennzeichnen. Anschließend können Sie diese Auslöser in einer globalen Korrelationsregel miteinander verknüpfen und dieser Korrelation eine passende Operation zuweisen, etwa das Schließen alter Ereignisse.
In einem anderen Anwendungsfall kann die globale Korrelation ähnliche Auslöser identifizieren und dieselbe Operation auf sie anwenden. Was wäre, wenn wir nur einen einzigen Problembericht pro Netzwerkportproblem erhalten könnten? Es ist nicht nötig, sie alle zu melden. Auch das ist mit der globalen Ereigniskorrelation möglich.
Die globale Ereigniskorrelation wird in Korrelationsregeln konfiguriert. Eine Korrelationsregel definiert, wie neue Problemereignisse mit bestehenden Problemereignissen abgeglichen werden und was im Falle einer Übereinstimmung zu tun ist (das neue Ereignis schließen, übereinstimmende alte Ereignisse durch Erzeugen entsprechender OK-Ereignisse schließen). Wenn ein Problem durch globale Korrelation geschlossen wird, wird dies in der Spalte Info unter Monitoring > Problems angezeigt.
Die Konfiguration globaler Korrelationsregeln ist nur für Benutzer mit der Berechtigungsstufe Super Admin verfügbar.
Die Ereigniskorrelation muss sehr sorgfältig konfiguriert werden, da sie die Leistung der Ereignisverarbeitung negativ beeinflussen oder bei Fehlkonfiguration mehr Ereignisse schließen kann als beabsichtigt (im schlimmsten Fall könnten sogar alle Problemereignisse geschlossen werden).
Um die globale Korrelation sicher zu konfigurieren, beachten Sie die folgenden wichtigen Hinweise:
- Reduzieren Sie den Korrelationsumfang. Setzen Sie immer ein eindeutiges Tag für das neue Ereignis, das mit alten Ereignissen abgeglichen wird, und verwenden Sie die Korrelationsbedingung New event tag name.
- Fügen Sie bei Verwendung von Close old events eine explizite Bedingung für alte Ereignisse hinzu. Fügen Sie immer mindestens eine Bedingung für Old event hinzu (zum Beispiel Old event tag name, Old event tag value oder Event tag pair), wenn Sie Close old events auswählen — andernfalls kann die Regel übereinstimmen und nicht zusammenhängende bestehende Problemereignisse schließen (im schlimmsten Fall alle Probleme). Bevorzugen Sie Event tag pair für den Abgleich von Laufzeitwerten (host:port, session id usw.) und grenzen Sie die Übereinstimmung nach Möglichkeit zusätzlich nach Host oder Hostgruppe ein.
- Vermeiden Sie die Verwendung allgemeiner Tag-Namen, die möglicherweise von verschiedenen Korrelationskonfigurationen verwendet werden.
- Halten Sie die Anzahl der Korrelationsregeln auf die wirklich benötigten Regeln beschränkt.
Siehe auch: bekannte Probleme.
Konfiguration
So konfigurieren Sie Ereigniskorrelationsregeln global:
- Gehen Sie zu Datenerfassung > Ereigniskorrelation
- Klicken Sie rechts auf Ereigniskorrelation erstellen (oder auf den Korrelationsnamen, um eine vorhandene Regel zu bearbeiten)
- Geben Sie die Parameter der Korrelationsregel im Formular ein
Alle erforderlichen Eingabefelder sind mit einem roten Sternchen markiert.
| Parameter | Beschreibung |
|---|---|
| Name | Eindeutiger Name der Korrelationsregel. |
| Berechnungstyp | Die folgenden Optionen zur Berechnung von Bedingungen sind verfügbar: Und - alle Bedingungen müssen erfüllt sein Oder - es genügt, wenn eine Bedingung erfüllt ist Und/Oder - UND mit verschiedenen Bedingungstypen und ODER mit demselben Bedingungstyp Benutzerdefinierter Ausdruck - eine benutzerdefinierte Berechnungsformel zur Auswertung von Aktionsbedingungen. Sie muss alle Bedingungen enthalten (dargestellt als Großbuchstaben A, B, C, ...) und kann Leerzeichen, Tabulatoren, Klammern ( ), and (Groß-/Kleinschreibung beachten), or (Groß-/Kleinschreibung beachten), not (Groß-/Kleinschreibung beachten) enthalten. |
| Bedingungen | Liste der Bedingungen. Details zur Konfiguration einer Bedingung finden Sie unten. |
| Beschreibung | Beschreibung der Korrelationsregel. |
| Operationen | Aktivieren Sie das Kontrollkästchen der Operation, die ausgeführt werden soll, wenn ein Ereignis korreliert wird. Die folgenden Operationen sind verfügbar: Alte Ereignisse schließen - alte Ereignisse schließen, wenn ein neues Ereignis eintritt. Fügen Sie bei Verwendung der Operation Alte Ereignisse schließen immer eine Bedingung hinzu, die auf dem alten Ereignis basiert, da sonst alle vorhandenen Problemen geschlossen werden könnten. Neues Ereignis schließen - das neue Ereignis schließen, wenn es eintritt. Warnung! Lassen Sie die Bedingungen für alte/neue Ereignisse nicht leer, wenn Sie Alte Ereignisse schließen/Neues Ereignis schließen verwenden.Wenn Sie die Operation Alte Ereignisse schließen auswählen, ohne eine Bedingung hinzuzufügen, die dem alten Ereignis entspricht, kann Zabbix alle vorhandenen alten Ereignisse abgleichen und schließen.Fügen Sie bei Verwendung von Alte Ereignisse schließen immer eine explizite Bedingung für alte Ereignisse hinzu (zum Beispiel Name des Tags des alten Ereignisses oder Ereignis-Tag-Paar). Beispielsweise wird eine Regel, die nur eine Bedingung für neues Ereignis und die Operation Alte Ereignisse schließen verwendet, mit allen alten Ereignissen übereinstimmen, die die (fehlenden) Kriterien für alte Ereignisse erfüllen - wodurch alte Probleme effektiv geschlossen werden. |
| Aktiviert | Wenn Sie dieses Kontrollkästchen aktivieren, wird die Korrelationsregel aktiviert. |
Um die Details einer neuen Bedingung zu konfigurieren, klicken Sie im Block Bedingungen auf 
.
Es öffnet sich ein Popup-Fenster, in dem Sie die Bedingungsdetails bearbeiten können.
| Parameter | Beschreibung |
|---|---|
| Neue Bedingung | Wählen Sie eine Bedingung für die Korrelation von Ereignissen aus. Beachten Sie, dass, wenn keine Bedingung für alte Ereignisse angegeben ist, alle alten Ereignisse abgeglichen und geschlossen werden können. Ebenso können, wenn keine Bedingung für neue Ereignisse angegeben ist, alle neuen Ereignisse abgeglichen und geschlossen werden. Die folgenden Bedingungen sind verfügbar: Name des Tags des alten Ereignisses - geben Sie den Namen des Tags des alten Ereignisses für den Abgleich an. Name des Tags des neuen Ereignisses - geben Sie den Namen des Tags des neuen Ereignisses für den Abgleich an. Host-Gruppe des neuen Ereignisses - geben Sie die Host-Gruppe des neuen Ereignisses für den Abgleich an. Ereignis-Tag-Paar - geben Sie den Tag-Namen des neuen Ereignisses und den Tag-Namen des alten Ereignisses für den Abgleich an. In diesem Fall liegt eine Übereinstimmung vor, wenn die Werte der Tags in beiden Ereignissen übereinstimmen. Die Tag-Namen müssen nicht übereinstimmen. Diese Option ist nützlich, um Laufzeitwerte abzugleichen, die zum Zeitpunkt der Konfiguration möglicherweise nicht bekannt sind (siehe auch Beispiel). Wert des Tags des alten Ereignisses - geben Sie den Namen und den Wert des Tags des alten Ereignisses für den Abgleich an, unter Verwendung der folgenden Operatoren: gleich - hat den Wert des Tags des alten Ereignisses ungleich - hat nicht den Wert des Tags des alten Ereignisses enthält - enthält die Zeichenfolge im Wert des Tags des alten Ereignisses enthält nicht - enthält die Zeichenfolge nicht im Wert des Tags des alten Ereignisses Wert des Tags des neuen Ereignisses - geben Sie den Namen und den Wert des Tags des neuen Ereignisses für den Abgleich an, unter Verwendung der folgenden Operatoren: gleich - hat den Wert des Tags des neuen Ereignisses ungleich - hat nicht den Wert des Tags des neuen Ereignisses enthält - enthält die Zeichenfolge im Wert des Tags des neuen Ereignisses enthält nicht - enthält die Zeichenfolge nicht im Wert des Tags des neuen Ereignisses |
Da Fehlkonfigurationen möglich sind, prüfen Sie bitte die unten beschriebenen Fälle, wenn ähnliche Ereignis-Tags für nicht zusammenhängende Probleme erstellt werden können!
- Tatsächliche Tags und Tag-Werte werden erst sichtbar, wenn ein Auslöser ausgelöst wird. Wenn der verwendete reguläre Ausdruck ungültig ist, wird er stillschweigend durch eine *UNKNOWN*-Zeichenfolge ersetzt. Wenn das ursprüngliche Problemereignis mit einem *UNKNOWN*-Tag-Wert übersehen wird, können nachfolgende OK-Ereignisse mit demselben *UNKNOWN*-Tag-Wert erscheinen, die Problemereignisse schließen können, die sie nicht hätten schließen sollen.
- Wenn ein Benutzer das Makro {ITEM.VALUE} ohne Makrofunktionen als Tag-Wert verwendet, gilt die Begrenzung auf 255 Zeichen. Wenn Protokollmeldungen lang sind und die ersten 255 Zeichen nicht spezifisch sind, kann dies ebenfalls zu ähnlichen Ereignis-Tags für nicht zusammenhängende Probleme führen.
Beispiel
Wiederholte Problemereignisse vom selben Netzwerkport stoppen.
Diese globale Korrelationsregel korreliert Probleme, wenn die Tag-Werte Host und port im Auslöser vorhanden sind und sie im ursprünglichen Ereignis und im neuen Ereignis identisch sind.
Die Operation schließt neue Problemereignisse am selben Netzwerkport, sodass nur das ursprüngliche Problem offen bleibt.