2 Globālā notikumu korelācija
Pārskats
Globālā notikumu korelācija ļauj aptvert visus Zabbix uzraudzītos mērījumus un izveidot korelācijas.
Ir iespējams korelēt notikumus, ko izveidojuši pilnīgi atšķirīgi trigeri, un piemērot tiem visiem vienas un tās pašas darbības. Izveidojot viedus korelācijas noteikumus, ir iespējams izvairīties no tūkstošiem atkārtotu paziņojumu un koncentrēties uz problēmas pamatcēloņiem!
Globālā notikumu korelācija ir jaudīgs mehānisms, kas ļauj atteikties no problēmu un to atrisināšanas loģikas, kas balstīta uz vienu trigeri. Līdz šim vienu problēmas notikumu izveidoja viens trigeris, un problēmas atrisināšanā mēs bijām atkarīgi no tā paša trigeris. Mēs nevarējām atrisināt problēmu, ko izveidojis viens trigeris, ar citu trigeri. Taču ar notikumu korelāciju, kas balstīta uz notikumu tagiem, tas ir iespējams.
Piemēram, žurnāla trigeris var ziņot par lietotnes problēmām, kamēr aptaujas trigeris var ziņot, ka lietotne darbojas un ir pieejama. Izmantojot notikumu tagu priekšrocības, jūs varat piešķirt žurnāla trigerim tagu status:down, bet aptaujas trigerim — tagu status:up. Pēc tam globālās korelācijas noteikumā varat sasaistīt šos trigerus un piešķirt šai korelācijai atbilstošu darbību, piemēram, veco notikumu aizvēršanu.
Citā pielietojumā globālā korelācija var identificēt līdzīgus trigerus un piemērot tiem vienu un to pašu darbību. Ko darīt, ja mēs varētu saņemt tikai vienu problēmas ziņojumu par katru tīkla porta problēmu? Nav nepieciešams ziņot par tiem visiem. Arī tas ir iespējams, izmantojot globālo notikumu korelāciju.
Globālā notikumu korelācija tiek konfigurēta korelācijas noteikumos. Korelācijas noteikums nosaka, kā jaunie problēmu notikumi tiek sapāroti ar esošajiem problēmu notikumiem un ko darīt atbilstības gadījumā (aizvērt jauno notikumu, aizvērt atbilstošos vecos notikumus, ģenerējot atbilstošus OK notikumus). Ja problēma tiek aizvērta ar globālo korelāciju, tas tiek norādīts Monitoring > Problems sadaļas Info kolonnā.
Globālās korelācijas noteikumu konfigurēšana ir pieejama tikai Super Admin līmeņa lietotājiem.
Notikumu korelācija jākonfigurē ļoti uzmanīgi, jo tā var negatīvi ietekmēt notikumu apstrādes veiktspēju vai nepareizas konfigurācijas gadījumā aizvērt vairāk notikumu, nekā bija paredzēts (sliktākajā gadījumā var tikt aizvērti pat visi problēmu notikumi).
Lai konfigurētu globālo korelāciju droši, ievērojiet šos svarīgos ieteikumus:
- Samaziniet korelācijas tvērumu. Vienmēr iestatiet unikālu tagu jaunajam notikumam, kas tiek sapārots ar vecajiem notikumiem, un izmantojiet korelācijas nosacījumu New event tag name.
- Pievienojiet skaidri definētu vecā notikuma nosacījumu, izmantojot Close old events. Vienmēr pievienojiet vismaz vienu Old event nosacījumu (piemēram, Old event tag name, Old event tag value vai Event tag pair), izvēloties Close old events — pretējā gadījumā noteikums var atbilst un aizvērt nesaistītus esošos problēmu notikumus (sliktākajā gadījumā — visas problēmas). Dodiet priekšroku Event tag pair, lai salīdzinātu izpildlaika vērtības (host:port, session id u.c.), un, ja iespējams, vēl vairāk sašauriniet atbilstību pēc hosta vai hostu grupas.
- Izvairieties no bieži lietotiem tagu nosaukumiem, kurus varētu izmantot dažādas korelācijas konfigurācijas.
- Ierobežojiet korelācijas noteikumu skaitu līdz tiem, kas jums patiešām ir nepieciešami.
Skatiet arī: zināmās problēmas.
Konfigurācija
Lai globāli konfigurētu notikumu korelācijas noteikumus:
- Dodieties uz Data collection > Event correlation
- Noklikšķiniet uz Create event correlation labajā pusē (vai uz korelācijas nosaukuma, lai rediģētu esošu noteikumu)
- Formā ievadiet korelācijas noteikuma parametrus
Visi obligātie ievades lauki ir atzīmēti ar sarkanu zvaigznīti.
| Parameter | Description |
|---|---|
| Name | Unikāls korelācijas noteikuma nosaukums. |
| Type of calculation | Pieejamas šādas nosacījumu aprēķināšanas opcijas: And - jāizpildās visiem nosacījumiem Or - pietiek, ja izpildās viens nosacījums And/Or - AND ar dažādiem nosacījumu tipiem un OR ar vienu un to pašu nosacījumu tipu Custom expression - lietotāja definēta aprēķina formula darbību nosacījumu izvērtēšanai. Tai jāietver visi nosacījumi (attēloti ar lielajiem burtiem A, B, C, ...) un var ietvert atstarpes, tabulācijas, iekavas ( ), and (reģistrjutīgs), or (reģistrjutīgs), not (reģistrjutīgs). |
| Conditions | Nosacījumu saraksts. Skatiet tālāk, lai uzzinātu vairāk par nosacījuma konfigurēšanu. |
| Description | Korelācijas noteikuma apraksts. |
| Operations | Atzīmējiet tās darbības izvēles rūtiņu, kas jāveic, kad notikums tiek korelēts. Pieejamas šādas darbības: Close old events - aizvērt vecos notikumus, kad notiek jauns notikums. Izmantojot darbību Close old events, vienmēr pievienojiet nosacījumu, kas balstīts uz veco notikumu, pretējā gadījumā var tikt aizvērti visi esošie problēmu notikumi. Close new event - aizvērt jauno notikumu, kad tas notiek. Brīdinājums! Neatstājiet vecā/jaunā notikuma nosacījumus tukšus, izmantojot Close old events/Close new event. Ja izvēlaties darbību Close old events bez nosacījuma, kas atbilst vecajam notikumam, Zabbix var saskaņot visus esošos vecos notikumus un tos aizvērt. Vienmēr pievienojiet skaidri definētu vecā notikuma nosacījumu (piemēram, Old event tag name vai Event tag pair), izmantojot Close old events. Piemēram, noteikums, kas izmanto tikai New event condition un darbību Close old events, saskaņos visus vecos notikumus, kas atbilst (trūkstošajiem) vecā notikuma kritērijiem - faktiski aizverot vecās problēmas. |
| Enabled | Ja atzīmēsiet šo izvēles rūtiņu, korelācijas noteikums būs iespējots. |
Lai konfigurētu jauna nosacījuma detaļas, noklikšķiniet uz 
blokā Conditions.
Tiks atvērts uznirstošais logs, kurā varēsiet rediģēt nosacījuma detaļas.
| Parameter | Description |
|---|---|
| New condition | Atlasiet nosacījumu notikumu korelēšanai. Piezīme: ja nav norādīts vecā notikuma nosacījums, var tikt saskaņoti un aizvērti visi vecie notikumi. Līdzīgi, ja nav norādīts jaunā notikuma nosacījums, var tikt saskaņoti un aizvērti visi jaunie notikumi. Pieejami šādi nosacījumi: Old event tag name - norādiet vecā notikuma taga nosaukumu saskaņošanai. New event tag name - norādiet jaunā notikuma taga nosaukumu saskaņošanai. New event host group - norādiet jaunā notikuma hostu grupu saskaņošanai. Event tag pair - norādiet jaunā notikuma taga nosaukumu un vecā notikuma taga nosaukumu saskaņošanai. Šajā gadījumā atbilstība būs tad, ja abu notikumu tagu vērtības sakritīs. Taga nosaukumiem nav obligāti jāsakrīt. Šī opcija ir noderīga izpildlaika vērtību saskaņošanai, kuras konfigurēšanas brīdī var nebūt zināmas (skatiet arī Piemērs). Old event tag value - norādiet vecā notikuma taga nosaukumu un vērtību saskaņošanai, izmantojot šādus operatorus: equals - ir vecā notikuma taga vērtība does not equal - nav vecā notikuma taga vērtība contains - vecā notikuma taga vērtībā ir šī virkne does not contain - vecā notikuma taga vērtībā nav šīs virknes New event tag value - norādiet jaunā notikuma taga nosaukumu un vērtību saskaņošanai, izmantojot šādus operatorus: equals - ir jaunā notikuma taga vērtība does not equal - nav jaunā notikuma taga vērtība contains - jaunā notikuma taga vērtībā ir šī virkne does not contain - jaunā notikuma taga vērtībā nav šīs virknes |
Tā kā ir iespējama nepareiza konfigurācija, ja līdzīgi notikumu tagi var tikt izveidoti nesaistītām problēmām, lūdzu, pārskatiet tālāk aprakstītos gadījumus!
- Faktiskie tagi un tagu vērtības kļūst redzami tikai tad, kad tiek aktivizēts trigeris. Ja izmantotā regulārā izteiksme ir nederīga, tā klusi tiek aizstāta ar virkni *UNKNOWN*. Ja sākotnējais problēmas notikums ar *UNKNOWN* taga vērtību tiek palaists garām, var parādīties turpmāki OK notikumi ar to pašu *UNKNOWN* taga vērtību, kas var aizvērt problēmu notikumus, kurus tiem nevajadzētu aizvērt.
- Ja lietotājs izmanto {ITEM.VALUE} makro bez makro funkcijām kā taga vērtību, tiek piemērots 255 rakstzīmju ierobežojums. Ja žurnāla ziņojumi ir gari un pirmās 255 rakstzīmes nav specifiskas, tas var arī radīt līdzīgus notikumu tagus nesaistītām problēmām.
Piemērs
Apturiet atkārtotus problēmu notikumus no tā paša tīkla porta.
Šis globālais korelācijas noteikums korelēs problēmas, ja trigerim pastāv host un port birku vērtības un tās ir vienādas sākotnējā un jaunajā notikumā.
Darbība aizvērs jaunus problēmu notikumus tajā pašā tīkla portā, atstājot atvērtu tikai sākotnējo problēmu.