グローバルイベント相関は強力な仕組みであり、1つのトリガーに基づく問題および復旧のロジックから解放されます。これまでは、1つの障害イベントは1つのトリガーによって作成され、その問題の復旧も同じトリガーに依存していました。つまり、あるトリガーによって作成された問題を別のトリガーで復旧させることはできませんでした。しかし、イベントタグに基づくイベント相関を使えば、それが可能になります。

たとえば、ログトリガーがアプリケーションの問題を報告し、ポーリングトリガーがアプリケーションが稼働中であることを報告する場合があります。イベントタグを活用することで、ログトリガーには status:down、ポーリングトリガーには status:up というタグを付けることができます。その後、グローバル相関ルールでこれらのトリガーを関連付け、この相関に対して古いイベントをクローズするなどの適切な操作を割り当てることができます。

別の用途として、グローバル相関は類似したトリガーを識別し、それらに同じ操作を適用できます。ネットワークポートの問題ごとに障害レポートを1件だけ受け取れたらどうでしょうか。すべてを報告する必要はありません。これもグローバルイベント相関で実現できます。

グローバルイベント相関は、相関ルール で設定します。相関ルールでは、新しい障害イベントを既存の障害イベントとどのように対応付けるか、また一致した場合に何を行うか（新しいイベントをクローズする、対応するOKイベントを生成して一致した古いイベントをクローズする）を定義します。問題がグローバル相関によってクローズされた場合、そのことは Monitoring > Problems の Info 列に表示されます。

グローバル相関ルールの設定は、Super Admin レベルのユーザーのみが利用できます。

イベント相関は、イベント処理のパフォーマンスに悪影響を与える可能性があり、また設定を誤ると意図したよりも多くのイベントをクローズしてしまう可能性があるため、非常に慎重に設定する必要があります（最悪の場合、すべての障害イベントがクローズされる可能性もあります）。

グローバル相関を安全に設定するには、次の重要なポイントを守ってください。

相関の対象範囲を絞ってください。
常に、新しいイベントに対して古いイベントと対応付けるための一意のタグを設定し、相関条件として New event tag name を使用してください。
Close old events を使用する場合は、古いイベントに対する明示的な条件を追加してください。
Close old events を選択する場合は、必ず少なくとも1つの Old event 条件（たとえば Old event tag name、Old event tag value、または Event tag pair）を追加してください。そうしないと、ルールが無関係な既存の障害イベントにも一致してクローズしてしまう可能性があります（最悪の場合、すべての問題が対象になります）。
実行時の値（host:port、session id など）を照合するには Event tag pair を優先し、可能であればホストまたはホストグループでさらに一致条件を絞り込んでください。
異なる相関設定で使用される可能性がある一般的なタグ名の使用は避けてください。
相関ルールの数は、本当に必要なものだけに限定してください。

参照: 既知の問題。

設定

イベント相関ルールをグローバルに設定するには:

Data collection > Event correlation に移動する
右側の Create event correlation をクリックする（または、既存のルールを編集するには相関名をクリックする）
フォームに相関ルールのパラメーターを入力する

$correlation\_rule.png$

必須入力フィールドには赤いアスタリスクが付いています。

パラメーター	説明
Name	一意の相関ルール名。
Type of calculation	条件の計算方法として、次のオプションを使用できます: And - すべての条件を満たす必要があります Or - いずれか1つの条件を満たせば十分です And/Or - 異なる条件タイプでは AND、同じ条件タイプでは OR Custom expression - アクション条件を評価するためのユーザー定義の計算式です。すべての条件（大文字の A、B、C、... で表されます）を含める必要があり、スペース、タブ、括弧 ( )、and（大文字小文字を区別）、or（大文字小文字を区別）、not（大文字小文字を区別）を含めることができます。
Conditions	条件の一覧です。条件の設定方法については以下を参照してください。
Description	相関ルールの説明。
Operations	イベントが相関されたときに実行する操作のチェックボックスをオンにします。使用できる操作は次のとおりです: Close old events - 新しいイベントが発生したときに古いイベントを閉じます。Close old events 操作を使用する場合は、必ず古いイベントに基づく条件を追加してください。追加しないと、既存のすべての問題が閉じられる可能性があります。 Close new event - 発生した新しいイベントを閉じます。警告! Close old events/Close new event を使用する場合は、古い/新しいイベント条件を空のままにしないでください。Close old events 操作を、古いイベントに一致する条件を追加せずに選択すると、Zabbix は既存のすべての古いイベントに一致してそれらを閉じる可能性があります。Close old events を使用する場合は、必ず明示的な古いイベント条件（たとえば、Old event tag name または Event tag pair）を追加してください。たとえば、New event condition と Close old events operation のみを使用するルールでは、（不足している）古いイベント条件に一致するすべての古いイベントが一致対象となり、結果として古い問題が閉じられます。
Enabled	このチェックボックスをオンにすると、相関ルールが有効になります。

新しい条件の詳細を設定するには、Conditions ブロックのをクリックします。ポップアップウィンドウが開き、条件の詳細を編集できます。

パラメーター	説明
New condition	イベントを相関させる条件を選択します。注意古いイベント条件が指定されていない場合、すべての古いイベントが一致して閉じられる可能性があります。同様に、新しいイベント条件が指定されていない場合、すべての新しいイベントが一致して閉じられる可能性があります。使用できる条件は次のとおりです: Old event tag name - 一致させる古いイベントのタグ名を指定します。 New event tag name - 一致させる新しいイベントのタグ名を指定します。 New event host group - 一致させる新しいイベントのホストグループを指定します。 Event tag pair - 一致させる新しいイベントのタグ名と古いイベントのタグ名を指定します。この場合、両方のイベントのタグの値が一致すると一致とみなされます。タグの名前が一致している必要はありません。このオプションは、設定時点では不明な場合がある実行時の値を一致させるのに便利です（例も参照してください）。 Old event tag value - 次の演算子を使用して、一致させる古いイベントのタグ名と値を指定します: equals - 古いイベントのタグ値と等しい does not equal - 古いイベントのタグ値と等しくない contains - 古いイベントのタグ値に文字列を含む does not contain - 古いイベントのタグ値に文字列を含まない New event tag value - 次の演算子を使用して、一致させる新しいイベントのタグ名と値を指定します: equals - 新しいイベントのタグ値と等しい does not equal - 新しいイベントのタグ値と等しくない contains - 新しいイベントのタグ値に文字列を含む does not contain - 新しいイベントのタグ値に文字列を含まない

パラメーター

説明

New condition

イベントを相関させる条件を選択します。
注意古いイベント条件が指定されていない場合、すべての古いイベントが一致して閉じられる可能性があります。同様に、新しいイベント条件が指定されていない場合、すべての新しいイベントが一致して閉じられる可能性があります。
使用できる条件は次のとおりです:
Old event tag name - 一致させる古いイベントのタグ名を指定します。
New event tag name - 一致させる新しいイベントのタグ名を指定します。
New event host group - 一致させる新しいイベントのホストグループを指定します。
Event tag pair - 一致させる新しいイベントのタグ名と古いイベントのタグ名を指定します。この場合、両方のイベントのタグの値が一致すると一致とみなされます。タグの名前が一致している必要はありません。
このオプションは、設定時点では不明な場合がある実行時の値を一致させるのに便利です（例も参照してください）。
Old event tag value - 次の演算子を使用して、一致させる古いイベントのタグ名と値を指定します:
equals - 古いイベントのタグ値と等しい
does not equal - 古いイベントのタグ値と等しくない
contains - 古いイベントのタグ値に文字列を含む
does not contain - 古いイベントのタグ値に文字列を含まない
New event tag value - 次の演算子を使用して、一致させる新しいイベントのタグ名と値を指定します:
equals - 新しいイベントのタグ値と等しい
does not equal - 新しいイベントのタグ値と等しくない
contains - 新しいイベントのタグ値に文字列を含む
does not contain - 新しいイベントのタグ値に文字列を含まない

設定ミスが起こり得るため、無関係な問題に対して類似したイベントタグが作成される可能性がある場合は、以下のケースを確認してください!

実際のタグとタグ値は、トリガーが発生したときにのみ表示されます。使用されている正規表現が無効な場合、*UNKNOWN* 文字列に静かに置き換えられます。 *UNKNOWN* タグ値を持つ最初の問題イベントを見逃すと、同じ *UNKNOWN* タグ値を持つ後続の OK イベントが表示され、それらが本来閉じるべきではない問題イベントを閉じてしまう可能性があります。
ユーザーがタグ値としてマクロ関数なしで {ITEM.VALUE} マクロを使用する場合、255文字の制限が適用されます。ログメッセージが長く、最初の255文字が特定性のない内容である場合、無関係な問題に対して類似したイベントタグが生成されることもあります。

例

同じネットワークポートからの問題イベントの繰り返しを停止します。

このグローバル相関ルールは、トリガー上に host および port タグの値が存在し、それらが元のイベントと新しいイベントで同じである場合に、問題を相関付けします。

この操作により、同じネットワークポート上の新しい問題イベントがクローズされ、元の問題のみがオープンのまま維持されます。

What’s next?

6 タグ付け

Docs

2 グローバルイベント相関

概要

設定

例

What’s next?

Suggest edit

Suggest an example

Thank you!