グローバルイベント相関は、1つのトリガーに基づく問題および復旧のロジックから解放してくれる強力な仕組みです。これまでは、1つの問題イベントは1つのトリガーによって作成され、その問題の復旧も同じトリガーに依存していました。つまり、あるトリガーによって作成された問題を別のトリガーで復旧させることはできませんでした。しかし、イベントタグに基づくイベント相関を使えば、それが可能になります。

たとえば、ログトリガーがアプリケーションの問題を報告し、ポーリングトリガーがアプリケーションが正常に稼働していることを報告する場合があります。イベントタグを活用することで、ログトリガーには status:down、ポーリングトリガーには status:up というタグを付けることができます。その後、グローバル相関ルールでこれらのトリガーを関連付け、この相関に対して古いイベントをクローズするといった適切な操作を割り当てることができます。

別の用途として、グローバル相関は類似したトリガーを識別し、それらに同じ操作を適用できます。ネットワークポートの問題ごとに問題レポートを1件だけ受け取れたらどうでしょうか。すべてを報告する必要はありません。これもグローバルイベント相関で実現できます。

グローバルイベント相関は、相関ルール で設定します。相関ルールでは、新しい問題イベントを既存の問題イベントとどのように対応付けるか、また一致した場合に何を行うか（新しいイベントをクローズする、一致した古いイベントに対応するOKイベントを生成してクローズする）を定義します。問題がグローバル相関によってクローズされた場合、そのことは Monitoring > Problems の Info 列に表示されます。

グローバル相関ルールの設定は、Super Admin レベルのユーザーのみが利用できます。

イベント相関は、イベント処理性能に悪影響を与える可能性があり、また設定を誤ると意図した以上に多くのイベントをクローズしてしまう可能性があるため、非常に慎重に設定する必要があります（最悪の場合、すべての問題イベントがクローズされることもあります）。

グローバル相関を安全に設定するには、次の重要なポイントに従ってください。

相関の対象範囲を絞り込んでください。
常に、新しいイベントに対して古いイベントと対応付けるための一意のタグを設定し、相関条件 New event tag name を使用してください。
Close old events を使用する場合は、明示的な古いイベント条件を追加してください。
Close old events を選択する場合は、必ず少なくとも1つの Old event 条件（たとえば Old event tag name、Old event tag value、または Event tag pair）を追加してください。そうしないと、ルールが無関係な既存の問題イベントにも一致してクローズしてしまう可能性があります（最悪の場合、すべての問題がクローズされる可能性があります）。
実行時の値（host:port、session id など）の一致には Event tag pair を使用することを推奨します。また、可能であればホストまたはホストグループでさらに一致条件を絞り込んでください。
異なる相関設定で使用される可能性のある一般的なタグ名の使用は避けてください。
相関ルールの数は、本当に必要なものだけに限定してください。

参照: 既知の問題。

設定

イベント相関ルールをグローバルに設定するには、以下のようにします。

データ収集 > イベント相関 に移動します
右側の イベント相関の作成 をクリックします（既存のルールを編集する場合は相関名をクリックします）
フォームに相関ルールのパラメータを入力します

$correlation\_rule.png$

必須入力フィールドには、赤いアスタリスクが付いています。

Parameter	Description
Name	一意の相関ルール名。
Type of calculation	条件の計算方法として、以下のオプションを使用できます。 And - すべての条件を満たす必要があります Or - いずれか1つの条件を満たせば十分です And/Or - 異なる条件タイプ同士はAND、同じ条件タイプ同士はORで評価します Custom expression - アクション条件を評価するためのユーザー定義の計算式です。すべての条件（大文字の A、B、C、... で表されます）を含める必要があり、スペース、タブ、括弧 ( )、and（大文字小文字を区別）、or（大文字小文字を区別）、not（大文字小文字を区別）を含めることができます。
Conditions	条件の一覧です。条件の設定方法の詳細は以下を参照してください。
Description	相関ルールの説明。
Operations	イベントが相関付けられたときに実行する操作のチェックボックスをオンにします。以下の操作を使用できます。 Close old events - 新しいイベントが発生したときに古いイベントをクローズします。Close old events 操作を使用する場合は、必ず古いイベントに基づく条件を追加してください。そうしないと、既存のすべての障害がクローズされる可能性があります。 Close new event - 新しいイベントが発生したときにそのイベントをクローズします。警告! Close old events/Close new event を使用する場合、古い/新しいイベント条件を空のままにしないでください。古いイベントに一致する条件を追加せずに Close old events 操作を選択すると、Zabbix は既存のすべての古いイベントに一致し、それらをクローズする可能性があります。Close old events を使用する場合は、必ず明示的な古いイベント条件（たとえば Old event tag name または Event tag pair）を追加してください。たとえば、New event condition のみと Close old events operation を使用するルールは、（欠落している）古いイベント条件を満たすすべての古いイベントに一致し、結果として古い障害をクローズしてしまいます。
Enabled	このチェックボックスをオンにすると、相関ルールが有効になります。

新しい条件の詳細を設定するには、Conditions ブロック内のをクリックします。条件の詳細を編集できるポップアップウィンドウが開きます。

Parameter	Description
New condition	イベントを相関付けるための条件を選択します。古いイベント条件が指定されていない場合、すべての古いイベントが一致してクローズされる可能性があることに注意してください。同様に、新しいイベント条件が指定されていない場合、すべての新しいイベントが一致してクローズされる可能性があります。以下の条件を使用できます。 Old event tag name - 一致対象とする古いイベントのタグ名を指定します。 New event tag name - 一致対象とする新しいイベントのタグ名を指定します。 New event host group - 一致対象とする新しいイベントのホストグループを指定します。 Event tag pair - 一致対象とする新しいイベントのタグ名と古いイベントのタグ名を指定します。この場合、両方のイベント内のタグの値が一致すれば一致とみなされます。タグの名前は一致している必要はありません。このオプションは、設定時点では不明な可能性がある実行時の値を一致させるのに便利です（例も参照してください）。 Old event tag value - 以下の演算子を使用して、一致対象とする古いイベントのタグ名と値を指定します。 equals - 古いイベントタグ値を持つ does not equal - 古いイベントタグ値を持たない contains - 古いイベントタグ値に文字列を含む does not contain - 古いイベントタグ値に文字列を含まない New event tag value - 以下の演算子を使用して、一致対象とする新しいイベントのタグ名と値を指定します。 equals - 新しいイベントタグ値を持つ does not equal - 新しいイベントタグ値を持たない contains - 新しいイベントタグ値に文字列を含む does not contain - 新しいイベントタグ値に文字列を含まない

Parameter

Description

New condition

イベントを相関付けるための条件を選択します。
古いイベント条件が指定されていない場合、すべての古いイベントが一致してクローズされる可能性があることに注意してください。同様に、新しいイベント条件が指定されていない場合、すべての新しいイベントが一致してクローズされる可能性があります。
以下の条件を使用できます。
Old event tag name - 一致対象とする古いイベントのタグ名を指定します。
New event tag name - 一致対象とする新しいイベントのタグ名を指定します。
New event host group - 一致対象とする新しいイベントのホストグループを指定します。
Event tag pair - 一致対象とする新しいイベントのタグ名と古いイベントのタグ名を指定します。この場合、両方のイベント内のタグの値が一致すれば一致とみなされます。タグの名前は一致している必要はありません。
このオプションは、設定時点では不明な可能性がある実行時の値を一致させるのに便利です（例も参照してください）。
Old event tag value - 以下の演算子を使用して、一致対象とする古いイベントのタグ名と値を指定します。
equals - 古いイベントタグ値を持つ
does not equal - 古いイベントタグ値を持たない
contains - 古いイベントタグ値に文字列を含む
does not contain - 古いイベントタグ値に文字列を含まない
New event tag value - 以下の演算子を使用して、一致対象とする新しいイベントのタグ名と値を指定します。
equals - 新しいイベントタグ値を持つ
does not equal - 新しいイベントタグ値を持たない
contains - 新しいイベントタグ値に文字列を含む
does not contain - 新しいイベントタグ値に文字列を含まない

設定ミスが起こり得るため、無関係な障害に対して類似したイベントタグが作成される可能性がある場合は、以下に示すケースを確認してください。

実際のタグとタグ値は、トリガーが発生したときにのみ表示されます。正規表現が無効な場合、それは暗黙的に *UNKNOWN* 文字列に置き換えられます。 *UNKNOWN* タグ値を持つ最初の障害イベントを見逃すと、同じ *UNKNOWN* タグ値を持つ後続のOKイベントが現れ、本来クローズすべきでない障害イベントをクローズしてしまう可能性があります。
ユーザーがタグ値としてマクロ関数なしで {ITEM.VALUE} マクロを使用する場合、255文字の制限が適用されます。ログメッセージが長く、先頭255文字に特異性がない場合、これによっても無関係な障害に対して類似したイベントタグが生成される可能性があります。

例

同じネットワークポートからの問題イベントの繰り返しを停止します。

このグローバル相関ルールは、トリガー上に host および port タグの値が存在し、それらが元のイベントと新しいイベントで同じである場合に、問題を相関付けします。

この操作により、同じネットワークポート上の新しい問題イベントがクローズされ、元の問題のみがオープンのまま維持されます。

What’s next?

6 タグ付け

Docs

2 グローバルイベント相関

概要

設定

例

What’s next?

Suggest edit

Suggest an example

Thank you!