用户手册

1 安装和第一步

1 Web 界面安装

2 快速入门指南

基本配置

1 登录和配置用户

2 新建主机

3 新建监控项

4 新触发器

5 接收问题通知

6 新模板

Apache Web 服务器监控

Linux 服务器监控

MySQL 服务器监控

3 安装：附加指南

从容器安装

从源代码安装

从软件包安装的说明

从 MSI 安装 Windows agent

在 Windows 上构建 Zabbix agent 2

在 Windows 上构建 Zabbix agent

从 PKG 安装 macOS agent

在 macOS 上构建 Zabbix agent

4 升级

从容器升级

从源码升级

从软件包升级

Debian/Ubuntu

Red Hat Enterprise Linux

升级问题

5 Zabbix 8.0 升级说明

Zabbix 8.0.x 的升级说明

模板变更

已知问题

要求

2 Zabbix 8.0 的新增内容

Zabbix 8.0.x 中有哪些新功能

3 Zabbix appliance

4 Zabbix 进程

服务器

高可用性

配置参数：Zabbix 服务器

proxy

配置参数：Zabbix proxy

agent

配置参数：Zabbix agent

配置参数：Zabbix agent（Windows）

Agent 2

Java 网关

配置参数：Zabbix Java 网关

从 Debian/Ubuntu 软件包进行设置

从 RHEL 软件包进行设置

从源代码安装

发送器

获取

Web 服务

配置参数：Zabbix web service

5 配置

1 主机和主机组

1 主机向导

2 配置主机

3 配置主机组

4 资产清单

5 批量更新

2 监控项

1 创建监控项

1 监控项键值的格式

2 自定义时间间隔

2 监控项值预处理

1 预处理测试

2 预处理详情

3 预处理示例

4 JSONPath 功能

1 从JSONPath 中的 LLD 宏值中转义特殊字符

5 JavaScript 预处理

1 其他 JavaScript 对象

browser_item_javascript_objects.md

6 CSV 转换成 JSON 预处理

3 监控项类型

1 Zabbix agent

1 Zabbix agent 2

2 Windows Zabbix agent

3 日志文件监控

2 简单检查

1 监控VMware的监控项键值

3 SNMP agent

1 动态索引

2 特殊 OIDs

3 个 MIB 文件

4 SNMP trap

5 Zabbix 内部

6 Zabbix trapper

7 外部检查

8 数据库监控

9 HTTP agent

1 Prometheus 检查

10 IPMI agent

11 SSH agent

12 Telnet agent

13 JMX agent

14 计算监控项

15 依赖监控项

16 脚本监控项

17 浏览器监控项

4 历史数据与趋势数据

5 用户自定义参数

1 扩展Zabbix Agents

6 Windows 性能计数器

7 批量更新

8 值映射

9 队列

10 值缓存

11 立刻检查

12 限制agent检查

3 使用触发器进行问题检测

1 触发器示例

2 配置触发器

3 触发器表达式

1 聚合函数

Foreach 函数

2 位运算函数

3 日期和时间函数

4 历史函数

5 趋势函数

6 数学函数

7 运算符函数

8 预测函数

预测性触发器函数

9 字符串函数

4 触发器的最佳实践

触发器严重性

触发器依赖关系

4 事件

1 触发器事件生成

2 其他事件源

3 手动关闭问题

5 事件关联

1 触发器事件关联

2 全局事件关联

6 标签化

7 可视化

1 图形

1 简单的图形

2 自定义图形

3 Ad-hoc图形

2 网络拓扑图

1 配置网络拓扑图

2 主机组元素

3 链接指标

3 仪表板

8 模板及模板组

1 配置模板

2 配置模板组

3 链接/取消链接

4 嵌套

5 批量更新

9 开箱即用的模板

1 Zabbix agent 模板操作

2 Zabbix agent 2 模板操作

3 HTTP 模板操作

4 IPMI 模板操作

5 JMX 模板操作

6 ODBC 模板操作

7 网络设备的标准化模板

8 VMware 模板操作

10 事件通知

1 媒介类型

1 电子邮件

1 自动化 Gmail/Office365 媒介类型

2 短信

3 自定义告警脚本

4 Webhook

1 Webhook 脚本范例

2 动作

1 条件

2 操作

1 发送消息

2 远程命令

3 附加操作

4 在消息中使用宏

3 恢复操作

4 更新操作

5 通知升级

3 接收不受支持的监控项的通知

11 宏变量

1 宏函数

2 用户宏

3 上下文用户宏

4 加密用户宏

5 低级别自动发现宏

6 表达式宏

12 用户和用户组

1 配置用户

2 权限

3 用户组

13 存储密钥

1 CyberArk 配置

2 HashiCorp配置

14 定时报表

15 数据导出

1 导出到文件

2 流式传输到外部系统

3 SNMP 网关

16 Configuration export/import

1 Template groups

2 Host groups

3 Templates

4 Hosts

5 Network maps

6 Media types

7 Dashboards

17 Regular expressions

6 服务监控

1 服务树

2 服务级别协议SLA

3 配置示例

7 Web 监控

1 Web 监控项

2 真实场景

8 虚拟机监控

2 虚拟机发现规则键值字段

3 VMware监控项的JSON示例

4 VMware监控配置示例

vmware_keys.md

9 维护

11 问题确认

1 问题抑制

13 发现

1 网络发现

1 配置网络发现规则

2 agent（主动模式）自动注册

3 低级别自动发现

1 监控项原型

2 触发器原型

3 图形原型

4 主机原型

5 发现原型

6 关于低级别发现的说明

7 发现规则

1 自动发现已挂载的文件系统

2 网络接口发现

3 CPU 和 CPU 核心的发现

4 自动发现SNMP OIDs

5 自动发现 SNMP OIDs (旧版)

6 自动发现JMX对象

7 自动发现IPMI传感器

8 自动发现系统服务

9 自动发现Windows服务

10 自动发现Windows性能计数器实例

11 利用WMI查询执行自动发现

12 利用ODBC SQL查询执行自动发现

13 利用Prometheus数据执行自动发现

14 块设备的发现

15 自动发现Zabbix主机接口

8 自定义 LLD 规则

14 分布式监控

1 proxy代理

1 监控配置同步

2 Proxy 负载均衡和高可用

15 加密

1 使用证书

2 使用预共享秘钥

3 故障排除

1 连接类型或权限问题

2 证书问题

3 PSK 问题

16 Web 界面

1 菜单

1 事件菜单

2 主机菜单

3 监控项菜单

2 前端部件

1 仪表板

1 仪表板小部件

2 仪表板小部件参数

1 操作日志

2 时钟

3 发现状态

4 收藏图形

5 个收藏地图

6 仪表盘指示器

7 地理地图

8 图形

9 图形（经典）

10 图形原型

11 Honeycomb

12 主机可用性

13 主机卡片

14 主机导航器

15 监控项卡片

16 监控项历史记录

17 监控项导航器

18 监控项值

19 地图

20 地图导航树

21 饼图

22 问题主机

23 问题

24 按严重性划分的问题

25 散点图

26 SLA 报告

27 系统信息

28 热门主机

29 最常用的监控项

30 个最常用触发器

31 触发器概述

32 URL

33 Web 监控

2. 监测

1 问题

1 根因和症状问题

2 主机

1 图表

2 主机仪表盘

3 Web场景

3 最新数据

4 拓扑图

5 自动发现

3 服务

1 服务

2 SLA

3 SLA 报表

4 资产

1 概述

2 主机

5 报表

1 系统信息

2 计划报表

3 可用性报表

4 触发器前100

5 审计日志

6 动作日志

7 通知

6 数据收集

1 模板组

2 主机组

3 模板

1 监控项

2 触发器

3 图形

4 自动发现规则

1 监控项原型

2 触发器原型

3 图形原型

4 主机原型

5 发现原型

5 Web 场景

4 主机

1 监控项

2 触发器

3 图形

4 自动发现规则

1 监控项原型

2 触发器原型

3 图形原型

4 主机原型

5 发现原型

5 Web 场景

5 维护

6 事件关联

7 自动发现

7 告警

1 动作

2 媒介类型

3 脚本

8 用户

1 用户组

2 用户角色

3 用户

4 API 令牌

5 认证

1 HTTP

2 LDAP

3 SAML

4 MFA

9 管理

1 常规

2 审计日志

3 管家

4 Proxy代理

5 Proxy组

6 宏

7 队列

3 用户设置

1 全局通知

2 浏览器提示音

4 全局搜索

5 前端维护模式

6 页面参数

7 定义

8 定制主题风格

9 调试模式

10 Zabbix使用的cookie

11 时区

12 重置密码

13 时间段和主机选择器

17 安全最佳实践

1 访问控制

1 保护 MySQL/MariaDB

2 保护 PostgreSQL/TimescaleDB

2 密码学

3 Web 服务器

18 API

方法参考

API信息

版本

LLD 规则

LLD规则对象

创建

删除

更新

获取

LLD 规则原型

LLD 规则原型对象

discoveryruleprototype.create

discoveryruleprototype.delete

discoveryruleprototype.get

discoveryruleprototype.update

MFA

MFA 对象

创建

删除

更新

获取

Proxy

Proxy 对象

创建

删除

更新

获取

Proxy 组

Proxy组对象

创建

删除

更新

获取

SLA

SLA 对象

创建

删除

更新

获取

获取SLI

Token

令牌对象

创建

删除

更新

生成

获取

Web 场景

Web 场景对象

创建

删除

更新

获取

主机

主机对象

创建

删除

批量删除

批量添加

更新

获取

主机原型

主机原型对象

创建

删除

更新

获取

主机接口

主机接口对象

创建

删除

批量删除

批量添加

更新

获取

主机组

主机组对象

传播

创建

删除

批量删除

批量添加

更新

获取

事件

事件对象

确认

获取

仪表板

仪表盘对象

创建

删除

获取

更新

仪表盘组件字段

1 动作日志

2 时钟

3 发现状态

4 收藏图形

5 个收藏的地图

6 仪表盘组件

7 地理地图

8 图形

9 图形（经典）

10 图形原型

11 Honeycomb

12 主机可用性

13 主机卡片

14 主机导航器

15 监控项卡片

16 监控项历史记录

17 监控项导航器

18 监控项值

19 拓扑图

20 地图导航树

21 饼图

22 问题主机

23 问题

24 按严重性显示的问题

25 散点图

26 SLA 报告

27 系统信息

28 热门主机

29 最常用监控项

30 个最常用触发器

31 触发器概述

32 URL

33 Web 监控

任务

任务对象

创建

获取

值映射

值映射对象

创建

删除

更新

获取

关联

关联对象

创建

删除

更新

获取

动作

动作对象

创建

删除

更新

获取

历史记录

历史数据对象

推送

清理

获取

发现检查

发现检查对象

获取

发现规则

发现规则对象

创建

删除

更新

获取

告警

告警对象

获取

图像

图像对象

创建

删除

更新

获取

图形原型

图形原型对象

创建

删除

更新

获取

图形监控项

图形监控项对象

获取

图标映射

图标映射对象

创建

删除

更新

获取

图表

图表对象

创建

删除

更新

获取

媒介类型

媒介类型对象

创建

删除

更新

获取

审计日志

审计日志对象

获取

已发现主机

发现的主机对象

获取

已发现服务

发现的服务对象

获取

报表

报告对象

创建

删除

更新

获取

拓扑图

拓扑图对象

创建

删除

更新

获取

数据清理

数据清理对象

更新

获取

服务

服务对象

创建

删除

更新

获取

模块

模块对象

创建

删除

更新

获取

模板

模版对象

创建

删除

批量删除

批量添加

更新

获取

模板仪表板

模版仪表盘对象

创建

删除

更新

获取

模板组

模板组对象

传播

创建

删除

批量删除

批量添加

更新

获取

正则表达式

正则表达式对象

创建

删除

更新

获取

用户

用户对象

创建

删除

更新

检查认证

注销

获取

解锁

配置

重置TOTP

用户宏

用户宏对象

创建

创建全局宏

删除

删除全局宏

更新

更新全局宏

获取

用户目录

用户目录对象

创建

删除

更新

测试

获取

用户组

用户组对象

创建

删除

更新

获取

监控项

监控项对象

创建

删除

更新

获取

监控项原型

监控项原型对象

创建

删除

更新

获取

维护

维护期对象

创建

删除

更新

获取

脚本

脚本对象

创建

删除

执行

更新

根据事件获取脚本

获取脚本

通过主机获取脚本

自动注册

自动注册对象

更新

获取

角色

角色对象

创建

删除

更新

获取

触发器

触发器对象

创建

删除

更新

获取

触发器原型

触发器原型对象

创建

删除

更新

获取

认证

认证对象

更新

获取

设置

设置对象

更新

获取

趋势

趋势对象

获取

连接器

连接器对象

创建

删除

更新

获取

配置

对比导入

导入

导出

问题

问题对象

获取

高可用性节点

高可用节点对象

获取

附录 1. 参考说明

附录 2. 从 7.4 到 8.0 的变更

附录 3. 8.0 中的变更

19 扩展

1 可加载模块

2 前端模块

20 附录

1 安装与设置

1 创建数据库

2 修复Zabbix 数据库的字符集及字符序

3 数据库升级到主键

4 准备用于分区的审计日志表

5 安全的连接数据库

1 MySQL加密配置

2 PostgreSQL加密配置

6 与前端的安全连接

7 TimescaleDB 设置

8 Elasticsearch 设置

9 为 Zabbix 配置 Nginx 的特定发行版说明

10 以 root 身份运行 agent

11 Microsoft Windows 上的 Zabbix agent

12 使用 Microsoft Entra ID 设置 SAML

13 使用 Okta 设置 SAML

14 使用 OneLogin 设置 SAML

15 设置计划报表

16 其他前端语言

2 进程配置

1 环境变量

2 包含

3 协议

1 Server-proxy 数据交换协议

2 Zabbix agent/agent2 协议

4 Zabbix agent 2 插件协议

5 Zabbix sender 协议

6 Header 标头

7 换行分隔的 JSON 导出协议

4 监控项

1 vm.memory.size 参数

2 被动和主动 Agent 检查

3 Windows agent 监控项的最低权限级别

4 返回值的编码

5 大文件支持

6 传感器

7 proc.mem 监控项中内存参数类型

8 在 proc.mem 和 proc.num items 监控项中选择进程

9 net.tcp.service 和 net.udp.service 检查

10 proc.get 参数

11 不可达/不可用主机接口设置

12 远程监控 Zabbix 状态

13 使用 Zabbix 配置 Kerberos 监控

14 modbus.get 参数

15 为 VMware 创建自定义性能计数器名称

16 system.sw.packages.get返回值

17 net.dns.get 返回值

18 net.if.get 的返回值

19 vfs.dev.get 的返回值

21 大型 JSON 值支持

关于 Windows 上 system.cpu.util 监控项的 20 条说明

5 支持的函数

6 宏

1 按位置支持的宏

2 按位置支持的用户宏

7 单位符号

8 时间段语法

9 命令执行

10 版本兼容性

11 Windows 版 Zabbix sender 动态链接库

12 服务监控升级

13 其他问题

14 转义示例

21 快速参考指南

1 使用 Zabbix agent 监控Linux

2 使用 Zabbix agent 监控 Windows

3 通过HTTP监控Apache

4 使用 Zabbix agent 2 监控MySQL

5 使用Zabbix监控VMware

6 使用Zabbix监控网络流量

7 使用主动检查监控网络流量

8 使用浏览器监控项监控网站

9 使用 Zabbix agent 2（被动）监控网站证书

10 使用 Zabbix 监控网络交换机或路由器

11 使用主动检查监控 Windows 事件日志

什么是 Zabbix

Zabbix Cloud

在云中部署 Zabbix

节点配置

添加用户

Zabbix Cloud 的主要区别

审计日志

开发者中心

创建插件

插件接口

Zabbix 的 Python 库

安装

快速入门指南

使用 Zabbix API

从 Zabbix agent 收集数据

向 Zabbix 服务器或 proxy 发送数据

调试日志

模块

模块文件结构

manifest.json

actions.md

视图

资源

注册新模块

小部件

配置

演示

教程

创建模块（教程）

创建小部件（教程）

示例

扩展开发的变更

Zabbix 手册页

zabbix_agent2

zabbix_agentd

zabbix_get

zabbix_js

zabbix_proxy

zabbix_sender

zabbix_server

zabbix_web_service

用户手册
5 配置
5 事件关联
1 触发器事件关联

On this page

1 触发器事件关联
- 概述
- 工作原理
- 配置
  - 监控项
  - 触发器

1 触发器事件关联

概述

基于触发器的事件关联允许关联一个触发器产生的不同问题。

通常，在Zabbix中正常事件会关闭一个触发器生成的所有问题事件，但在某些情况下需要更加详细的方法。例如，当监控日志文件时，你可能想在日志文件中某些问题并将单独关闭，而不是全部关闭。

触发器的问题事件生成模式参数设置为多重的情况，通常用于日志监控、trap处理等。

在Zabbix中可以根据标签关联问题事件。标签用于提取值并创建问题标识。利用这一点，也可以根据匹配标签单独关闭问题。

换言之，相同的触发器可以通过事件标签创建不同事件。因此，可以通过事件标签逐个创建问题事件，并通过事件标签单独关闭事件。

工作原理

在日志监控中，您可能会遇到类似这样的行：

第 1 行：Service 1 stopped
第 2 行：Service 2 stopped
第 3 行：Service 1 was restarted
第 4 行：Service 2 was restarted

事件关联的思路是，能够将第 1 行中的问题事件与第 3 行中的恢复对应起来，将第 2 行中的问题事件与第 4 行中的恢复对应起来，并逐个关闭这些问题：

第 1 行：Service 1 stopped
第 3 行：Service 1 was restarted #第 1 行中的问题已关闭

第 2 行：Service 2 stopped
第 4 行：Service 2 was restarted #第 2 行中的问题已关闭

为此，您需要为这些相关事件添加标签，例如“Service 1”和“Service 2”。这可以通过对日志行应用正则表达式来提取标签值实现。这样，在创建事件时，它们将分别被标记为“Service 1”和“Service 2”，问题也就可以与恢复相匹配。

配置

监控项

首先，你需要设置一个监控日志文件的监控项，例如：

log[/var/log/syslog]

当监控项设置完成时，等待加载配置更改约一分钟，然后去最新数据中确保监控项开始采集数据。

触发器

在监控项正常工作的情况下，您需要配置触发器。重要的是要决定日志文件中的哪些条目值得关注。例如，下面的触发器表达式会搜索类似于 'Stopping' 的字符串，以指示潜在问题：

find(/My host/log[/var/log/syslog],,"regexp","Stopping")=1

为确保每一行包含字符串 "Stopping" 都被视为问题，还需要在触发器配置中将 Problem event generation mode 设置为 'Multiple'。

然后定义恢复表达式。下面的恢复表达式会在找到包含字符串 "Starting" 的日志行时解决所有问题：

find(/My host/log[/var/log/syslog],,"regexp","Starting")=1

由于我们不希望这样，因此重要的是要以某种方式确保相应的根问题被关闭，而不仅仅是所有问题。这就是标签可以发挥作用的地方。

可以通过在触发器配置中指定一个标签来匹配问题和恢复。需要进行以下设置：

Problem event generation mode: Multiple
OK event closes: All problems if tag values match
输入用于事件匹配的标签名称

配置标签，从日志行中提取标签值

如果配置成功，您将能够在 Monitoring > Problems 中看到按应用程序标记并与其恢复相匹配的问题事件。

由于可能存在配置错误，当类似的事件标签可能会为无关问题创建时，请务必查看下面列出的情况！

索引宏始终引用触发器配置中的 Expression 字段，而不是 Recovery expression。例如，在恢复事件中，{ITEM.VALUE1} 将解析为恢复时问题表达式中第一个监控项的最新值。如果恢复表达式基于不同的监控项，并且在恢复时问题表达式中监控项的值发生了变化，那么这些事件将具有不同的标签，因而不会被关联。
当两个应用程序向同一个日志文件写入错误和恢复消息时，用户可能会决定在同一个触发器中使用两个 service 标签，并通过在标签值中使用单独的正则表达式来提取服务 A 和服务 B 的名称，例如从 {ITEM.VALUE} 宏中提取（例如，当消息格式不同的时候）。但是，如果正则表达式没有匹配，这种方式可能不会按预期工作。不匹配的正则表达式会产生空的标签值，而问题事件和 OK 事件中只要有一个空的标签值就足以将它们关联起来。因此，来自服务 A 的恢复消息可能会意外关闭来自服务 B 的错误消息。
只有在触发器触发时，实际的标签和标签值才会可见。如果所使用的正则表达式无效，它会被静默替换为 *UNKNOWN* 字符串。如果带有 *UNKNOWN* 标签值的初始问题事件被遗漏，后续可能会出现具有相同 *UNKNOWN* 标签值的 OK 事件，从而关闭本不应被关闭的问题事件。
如果用户将不带宏函数的 {ITEM.VALUE} 宏用作标签值，则适用 255 个字符的限制。当日志消息很长且前 255 个字符没有特定信息时，这也可能导致无关问题产生相似的事件标签。

What’s next?

2 全局事件关联

Docs

1 触发器事件关联

概述

工作原理

配置

监控项

触发器

What’s next?

Suggest edit

Suggest an example

Thank you!