2 Globālā notikumu korelācija
Pārskats
Globālā notikumu korelācija ļauj aptvert visus Zabbix uzraudzītos mērījumus un izveidot korelācijas.
Ir iespējams korelēt notikumus, ko izveidojuši pilnīgi atšķirīgi trigeri, un piemērot tiem visiem vienādas darbības. Izveidojot viedus korelācijas noteikumus, ir iespējams izvairīties no tūkstošiem atkārtotu paziņojumu un koncentrēties uz problēmas pamatcēloņiem!
Globālā notikumu korelācija ir jaudīgs mehānisms, kas ļauj atteikties no uz viena trigera balstītas problēmu un atrisināšanas loģikas. Līdz šim vienu problēmas notikumu izveidoja viens trigeris, un problēmas atrisināšanai mēs bijām atkarīgi no tā paša trigera. Mēs nevarējām atrisināt problēmu, ko izveidojis viens trigeris, ar citu trigeri. Taču ar uz notikumu tagiem balstītu notikumu korelāciju mēs to varam.
Piemēram, žurnāla trigeris var ziņot par lietotnes problēmām, kamēr aptaujas trigeris var ziņot, ka lietotne darbojas un ir pieejama. Izmantojot notikumu tagu priekšrocības, jūs varat piešķirt žurnāla trigerim tagu status:down, bet aptaujas trigerim — tagu status:up. Pēc tam globālās korelācijas noteikumā varat sasaistīt šos trigerus un piešķirt šai korelācijai atbilstošu darbību, piemēram, aizvērt vecos notikumus.
Citā pielietojumā globālā korelācija var identificēt līdzīgus trigerus un piemērot tiem vienādu darbību. Ko darīt, ja mēs vēlētos saņemt tikai vienu problēmas ziņojumu par katru tīkla porta problēmu? Nav nepieciešams ziņot par tiem visiem. Arī tas ir iespējams, izmantojot globālo notikumu korelāciju.
Globālā notikumu korelācija tiek konfigurēta korelācijas noteikumos. Korelācijas noteikums nosaka, kā jaunie problēmu notikumi tiek sasaistīti ar esošajiem problēmu notikumiem un ko darīt atbilstības gadījumā (aizvērt jauno notikumu, aizvērt atbilstošos vecos notikumus, ģenerējot atbilstošus OK notikumus). Ja problēma tiek aizvērta ar globālo korelāciju, tas tiek norādīts Monitoring > Problems Info kolonnā.
Globālās korelācijas noteikumu konfigurēšana ir pieejama tikai Super Admin līmeņa lietotājiem.
Notikumu korelācija jākonfigurē ļoti rūpīgi, jo tā var negatīvi ietekmēt notikumu apstrādes veiktspēju vai nepareizas konfigurācijas gadījumā aizvērt vairāk notikumu, nekā bija paredzēts (sliktākajā gadījumā var tikt aizvērti pat visi problēmu notikumi).
Lai konfigurētu globālo korelāciju droši, ievērojiet šos svarīgos ieteikumus:
- Samaziniet korelācijas tvērumu. Vienmēr iestatiet unikālu tagu jaunajam notikumam, kas tiek sasaistīts ar vecajiem notikumiem, un izmantojiet korelācijas nosacījumu New event tag name.
- Pievienojiet skaidri definētu vecā notikuma nosacījumu, izmantojot Close old events. Vienmēr pievienojiet vismaz vienu Old event nosacījumu (piemēram, Old event tag name, Old event tag value vai Event tag pair), izvēloties Close old events — pretējā gadījumā noteikums var atbilst nesaistītiem esošajiem problēmu notikumiem un tos aizvērt (sliktākajā gadījumā — visas problēmas). Dodiet priekšroku Event tag pair, lai salīdzinātu izpildlaika vērtības (host:port, session id u.c.), un, ja iespējams, vēl vairāk sašauriniet atbilstību pēc hosta vai hostu grupas.
- Izvairieties no bieži lietotiem tagu nosaukumiem, kurus var izmantot dažādas korelācijas konfigurācijas.
- Ierobežojiet korelācijas noteikumu skaitu līdz tiem, kas jums patiešām ir nepieciešami.
Skatiet arī: zināmās problēmas.
Konfigurācija
Lai konfigurētu notikumu korelācijas noteikumus globāli:
- Dodieties uz Datu ievākšana > Notikumu korelācija
- Noklikšķiniet uz Izveidot notikumu korelāciju labajā pusē (vai uz korelācijas nosaukuma, lai rediģētu esošu noteikumu)
- Ievadiet korelācijas noteikuma parametrus formā
Visi obligātie ievades lauki ir atzīmēti ar sarkanu zvaigznīti.
| Parameter | Description |
|---|---|
| Name | Unikāls korelācijas noteikuma nosaukums. |
| Type of calculation | Ir pieejamas šādas nosacījumu aprēķināšanas opcijas: And - jāizpildās visiem nosacījumiem Or - pietiek, ja izpildās viens nosacījums And/Or - AND dažādiem nosacījumu tipiem un OR vienam un tam pašam nosacījumu tipam Custom expression - lietotāja definēta aprēķina formula darbības nosacījumu novērtēšanai. Tai jāietver visi nosacījumi (attēloti kā lielie burti A, B, C, ...) un tā var ietvert atstarpes, tabulācijas, iekavas ( ), and (reģistrjutīgs), or (reģistrjutīgs), not (reģistrjutīgs). |
| Conditions | Nosacījumu saraksts. Sīkāku informāciju par nosacījuma konfigurēšanu skatiet zemāk. |
| Description | Korelācijas noteikuma apraksts. |
| Operations | Atzīmējiet darbības izvēles rūtiņu, kas jāizpilda, kad notikums tiek korelēts. Ir pieejamas šādas darbības: Close old events - aizvērt vecos notikumus, kad notiek jauns notikums. Izmantojot darbību Close old events, vienmēr pievienojiet nosacījumu, kas balstīts uz veco notikumu, pretējā gadījumā var tikt aizvērtas visas esošās problēmas. Close new event - aizvērt jauno notikumu, kad tas notiek. Warning! Neatstājiet vecā/jaunā notikuma nosacījumus tukšus, izmantojot Close old events/Close new event. Ja atlasīsiet darbību Close old events, nepievienojot nosacījumu, kas atbilst vecajam notikumam, Zabbix var saskaņot visus esošos vecos notikumus un tos aizvērt. Vienmēr pievienojiet skaidri definētu vecā notikuma nosacījumu (piemēram, Old event tag name vai Event tag pair), izmantojot Close old events. Piemēram, noteikums, kas izmanto tikai New event condition un darbību Close old events, atbildīs visiem vecajiem notikumiem, kas atbilst (trūkstošajiem) vecā notikuma kritērijiem, — faktiski aizverot vecās problēmas. |
| Enabled | Ja atzīmēsiet šo izvēles rūtiņu, korelācijas noteikums tiks iespējots. |
Lai konfigurētu jauna nosacījuma detaļas, blokā Conditions noklikšķiniet uz 
.
Tiks atvērts uznirstošais logs, kurā varēsiet rediģēt nosacījuma detaļas.
| Parameter | Description |
|---|---|
| New condition | Atlasiet nosacījumu notikumu korelēšanai. Ņemiet vērā, ka, ja nav norādīts vecā notikuma nosacījums, var tikt saskaņoti un aizvērti visi vecie notikumi. Līdzīgi, ja nav norādīts jaunā notikuma nosacījums, var tikt saskaņoti un aizvērti visi jaunie notikumi. Ir pieejami šādi nosacījumi: Old event tag name - norādiet vecā notikuma birkas nosaukumu saskaņošanai. New event tag name - norādiet jaunā notikuma birkas nosaukumu saskaņošanai. New event host group - norādiet jaunā notikuma hostu grupu saskaņošanai. Event tag pair - norādiet jaunā notikuma birkas nosaukumu un vecā notikuma birkas nosaukumu saskaņošanai. Šajā gadījumā būs atbilstība, ja birku vērtības abos notikumos sakrīt. Birku nosaukumiem nav jāsakrīt. Šī opcija ir noderīga izpildlaika vērtību saskaņošanai, kuras konfigurēšanas laikā var nebūt zināmas (skatiet arī Piemērs). Old event tag value - norādiet vecā notikuma birkas nosaukumu un vērtību saskaņošanai, izmantojot šādus operatorus: equals - ir vecā notikuma birkas vērtība does not equal - nav vecā notikuma birkas vērtība contains - satur virkni vecā notikuma birkas vērtībā does not contain - nesatur virkni vecā notikuma birkas vērtībā New event tag value - norādiet jaunā notikuma birkas nosaukumu un vērtību saskaņošanai, izmantojot šādus operatorus: equals - ir jaunā notikuma birkas vērtība does not equal - nav jaunā notikuma birkas vērtība contains - satur virkni jaunā notikuma birkas vērtībā does not contain - nesatur virkni jaunā notikuma birkas vērtībā |
Tā kā ir iespējama nepareiza konfigurācija, ja līdzīgas notikumu birkas var tikt izveidotas nesaistītām problēmām, lūdzu, pārskatiet tālāk aprakstītos gadījumus!
- Faktiskās birkas un birku vērtības kļūst redzamas tikai tad, kad nostrādā trigeris. Ja izmantotā regulārā izteiksme nav derīga, tā tiek klusi aizstāta ar virkni *UNKNOWN*. Ja sākotnējais problēmas notikums ar birkas vērtību *UNKNOWN* tiek palaists garām, vēlāk var parādīties sekojoši OK notikumi ar to pašu birkas vērtību *UNKNOWN*, kas var aizvērt problēmu notikumus, kurus tiem nevajadzētu aizvērt.
- Ja lietotājs izmanto makrosu {ITEM.VALUE} bez makrosu funkcijām kā birkas vērtību, tiek piemērots 255 rakstzīmju ierobežojums. Ja žurnāla ziņojumi ir gari un pirmās 255 rakstzīmes nav specifiskas, tas arī var radīt līdzīgas notikumu birkas nesaistītām problēmām.
Piemērs
Apturiet atkārtotus problēmu notikumus no tā paša tīkla porta.
Šis globālais korelācijas noteikums korelēs problēmas, ja trigerim pastāv host un port birku vērtības un tās ir vienādas sākotnējā un jaunajā notikumā.
Darbība aizvērs jaunus problēmu notikumus tajā pašā tīkla portā, atstājot atvērtu tikai sākotnējo problēmu.