2 Globale Ereigniskorrelation
Übersicht
Die globale Ereigniskorrelation ermöglicht es, über alle von Zabbix überwachten Metriken hinweg Korrelationen zu erstellen.
Es ist möglich, Ereignisse zu korrelieren, die von völlig unterschiedlichen Auslösern erstellt wurden, und auf sie alle dieselben Operationen anzuwenden. Durch das Erstellen intelligenter Korrelationsregeln können Sie sich tatsächlich Tausende sich wiederholender Benachrichtigungen ersparen und sich auf die eigentlichen Ursachen eines Problems konzentrieren!
Die globale Ereigniskorrelation ist ein leistungsfähiger Mechanismus, der es Ihnen ermöglicht, sich von einer problem- und lösungslogik zu lösen, die auf einem einzelnen Auslöser basiert. Bisher wurde ein einzelnes Problemereignis von einem Auslöser erstellt, und wir waren für die Problemlösung von genau diesem Auslöser abhängig. Wir konnten ein von einem Auslöser erzeugtes Problem nicht mit einem anderen Auslöser lösen. Mit einer auf Ereignis-Tags basierenden Ereigniskorrelation ist dies jedoch möglich.
Beispielsweise kann ein Log-Auslöser Anwendungsprobleme melden, während ein Polling-Auslöser meldet, dass die Anwendung betriebsbereit ist. Unter Nutzung von Ereignis-Tags können Sie den Log-Auslöser mit status:down taggen und den Polling-Auslöser mit status:up. Anschließend können Sie diese Auslöser in einer globalen Korrelationsregel miteinander verknüpfen und dieser Korrelation eine passende Operation zuweisen, etwa das Schließen alter Ereignisse.
In einem anderen Anwendungsfall kann die globale Korrelation ähnliche Auslöser identifizieren und dieselbe Operation auf sie anwenden. Was wäre, wenn wir nur eine einzige Problemmeldung pro Netzwerkportproblem erhalten könnten? Es ist nicht nötig, sie alle zu melden. Auch das ist mit der globalen Ereigniskorrelation möglich.
Die globale Ereigniskorrelation wird in Korrelationsregeln konfiguriert. Eine Korrelationsregel definiert, wie neue Problemereignisse mit bestehenden Problemereignissen verknüpft werden und was im Falle einer Übereinstimmung zu tun ist (das neue Ereignis schließen, übereinstimmende alte Ereignisse durch Erzeugen entsprechender OK-Ereignisse schließen). Wenn ein Problem durch globale Korrelation geschlossen wird, wird dies in der Spalte Info unter Monitoring > Problems angezeigt.
Die Konfiguration globaler Korrelationsregeln ist nur für Benutzer mit der Berechtigungsstufe Super Admin verfügbar.
Die Ereigniskorrelation muss sehr sorgfältig konfiguriert werden, da sie die Leistung der Ereignisverarbeitung negativ beeinflussen oder bei Fehlkonfiguration mehr Ereignisse schließen kann als beabsichtigt (im schlimmsten Fall könnten sogar alle Problemereignisse geschlossen werden).
Um die globale Korrelation sicher zu konfigurieren, beachten Sie die folgenden wichtigen Hinweise:
- Begrenzen Sie den Korrelationsumfang. Setzen Sie immer ein eindeutiges Tag für das neue Ereignis, das mit alten Ereignissen verknüpft wird, und verwenden Sie die Korrelationsbedingung New event tag name.
- Fügen Sie bei Verwendung von Close old events eine explizite Bedingung für alte Ereignisse hinzu. Fügen Sie immer mindestens eine Bedingung für Old event hinzu (zum Beispiel Old event tag name, Old event tag value oder Event tag pair), wenn Sie Close old events auswählen — andernfalls kann die Regel übereinstimmen und nicht zusammenhängende bestehende Problemereignisse schließen (im schlimmsten Fall alle Probleme). Bevorzugen Sie Event tag pair für den Abgleich von Laufzeitwerten (host:port, session id usw.) und grenzen Sie die Übereinstimmung nach Möglichkeit zusätzlich nach Host oder Hostgruppe ein.
- Vermeiden Sie die Verwendung allgemeiner Tag-Namen, die möglicherweise in verschiedenen Korrelationskonfigurationen verwendet werden.
- Halten Sie die Anzahl der Korrelationsregeln auf die wirklich benötigten Regeln beschränkt.
Siehe auch: bekannte Probleme.
Konfiguration
So konfigurieren Sie globale Regeln für die Ereigniskorrelation:
- Gehen Sie zu Data collection > Event correlation
- Klicken Sie rechts auf Create event correlation (oder auf den Korrelationsnamen, um eine vorhandene Regel zu bearbeiten)
- Geben Sie die Parameter der Korrelationsregel im Formular ein
Alle Pflichtfelder sind mit einem roten Sternchen markiert.
| Parameter | Beschreibung |
|---|---|
| Name | Eindeutiger Name der Korrelationsregel. |
| Type of calculation | Die folgenden Optionen zur Berechnung von Bedingungen sind verfügbar: And - alle Bedingungen müssen erfüllt sein Or - es reicht aus, wenn eine Bedingung erfüllt ist And/Or - AND bei unterschiedlichen Bedingungstypen und OR bei gleichen Bedingungstypen Custom expression - eine benutzerdefinierte Berechnungsformel zur Auswertung von Aktionsbedingungen. Sie muss alle Bedingungen enthalten (dargestellt durch Großbuchstaben A, B, C, ...) und darf Leerzeichen, Tabulatoren, Klammern ( ) sowie and (Groß-/Kleinschreibung beachten), or (Groß-/Kleinschreibung beachten), not (Groß-/Kleinschreibung beachten) enthalten. |
| Conditions | Liste der Bedingungen. Weitere Details zur Konfiguration einer Bedingung siehe unten. |
| Description | Beschreibung der Korrelationsregel. |
| Operations | Aktivieren Sie das Kontrollkästchen der auszuführenden Operation, wenn ein Ereignis korreliert wird. Die folgenden Operationen sind verfügbar: Close old events - schließt alte Ereignisse, wenn ein neues Ereignis auftritt. Fügen Sie bei Verwendung der Operation Close old events immer eine Bedingung auf Basis des alten Ereignisses hinzu, da sonst alle vorhandenen Probleme geschlossen werden könnten. Close new event - schließt das neue Ereignis, wenn es auftritt. Warnung! Lassen Sie bei Verwendung von Close old events/Close new event die Bedingungen für alte/neue Ereignisse nicht leer. Wenn Sie die Operation Close old events ohne Hinzufügen einer Bedingung auswählen, die dem alten Ereignis entspricht, kann Zabbix alle vorhandenen alten Ereignisse zuordnen und schließen. Fügen Sie bei Verwendung von Close old events immer eine explizite Bedingung für das alte Ereignis hinzu (z. B. Old event tag name oder Event tag pair). Eine Regel, die nur eine New event condition und die Operation Close old events verwendet, ordnet beispielsweise alle alten Ereignisse zu, die die (fehlenden) Kriterien für alte Ereignisse erfüllen - und schließt damit effektiv alte Probleme. |
| Enabled | Wenn Sie dieses Kontrollkästchen aktivieren, wird die Korrelationsregel aktiviert. |
Um Details zu einer neuen Bedingung zu konfigurieren, klicken Sie im Block Conditions auf 
.
Es öffnet sich ein Popup-Fenster, in dem Sie die Details der Bedingung bearbeiten können.
| Parameter | Beschreibung |
|---|---|
| New condition | Wählen Sie eine Bedingung für die Korrelation von Ereignissen aus. Hinweis: Wenn keine Bedingung für alte Ereignisse angegeben ist, können alle alten Ereignisse zugeordnet und geschlossen werden. Ebenso können, wenn keine Bedingung für neue Ereignisse angegeben ist, alle neuen Ereignisse zugeordnet und geschlossen werden. Die folgenden Bedingungen sind verfügbar: Old event tag name - geben Sie den Namen des Tags des alten Ereignisses für die Zuordnung an. New event tag name - geben Sie den Namen des Tags des neuen Ereignisses für die Zuordnung an. New event host group - geben Sie die Hostgruppe des neuen Ereignisses für die Zuordnung an. Event tag pair - geben Sie den Namen des neuen Tags und den Namen des alten Tags für die Zuordnung an. In diesem Fall liegt eine Übereinstimmung vor, wenn die Werte der Tags in beiden Ereignissen übereinstimmen. Die Tag-Namen müssen nicht übereinstimmen. Diese Option ist nützlich für die Zuordnung von Laufzeitwerten, die zum Zeitpunkt der Konfiguration möglicherweise noch nicht bekannt sind (siehe auch Beispiel). Old event tag value - geben Sie den Namen und den Wert des Tags des alten Ereignisses für die Zuordnung an, unter Verwendung der folgenden Operatoren: equals - hat den Wert des Tags des alten Ereignisses does not equal - hat nicht den Wert des Tags des alten Ereignisses contains - enthält die Zeichenfolge im Wert des Tags des alten Ereignisses does not contain - enthält die Zeichenfolge nicht im Wert des Tags des alten Ereignisses New event tag value - geben Sie den Namen und den Wert des Tags des neuen Ereignisses für die Zuordnung an, unter Verwendung der folgenden Operatoren: equals - hat den Wert des Tags des neuen Ereignisses does not equal - hat nicht den Wert des Tags des neuen Ereignisses contains - enthält die Zeichenfolge im Wert des Tags des neuen Ereignisses does not contain - enthält die Zeichenfolge nicht im Wert des Tags des neuen Ereignisses |
Da Fehlkonfigurationen möglich sind, prüfen Sie bitte die unten beschriebenen Fälle, wenn ähnliche Event-Tags für nicht zusammenhängende Probleme erstellt werden können!
- Tatsächliche Tags und Tag-Werte werden erst sichtbar, wenn ein Auslöser auslöst. Wenn der verwendete reguläre Ausdruck ungültig ist, wird er stillschweigend durch die Zeichenfolge *UNKNOWN* ersetzt. Wenn das anfängliche Problemereignis mit einem *UNKNOWN*-Tag-Wert übersehen wird, können nachfolgende OK-Ereignisse mit demselben *UNKNOWN*-Tag-Wert erscheinen, die Problemereignisse schließen könnten, die sie nicht hätten schließen dürfen.
- Wenn ein Benutzer die Makro {ITEM.VALUE} ohne Makrofunktionen als Tag-Wert verwendet, gilt die Begrenzung auf 255 Zeichen. Bei langen Protokollmeldungen und wenn die ersten 255 Zeichen nicht spezifisch sind, kann dies ebenfalls zu ähnlichen Event-Tags für nicht zusammenhängende Probleme führen.
Beispiel
Wiederholte Problemereignisse vom selben Netzwerkport stoppen.
Diese globale Korrelationsregel korreliert Probleme, wenn die Tag-Werte Host und port im Auslöser vorhanden sind und sie im ursprünglichen Ereignis und im neuen Ereignis identisch sind.
Die Operation schließt neue Problemereignisse am selben Netzwerkport, sodass nur das ursprüngliche Problem offen bleibt.