Ad Widget

**cmd** · 16-05-2013, 11:12

Используем функцию min:

{www.zabbix.com:net.if.in[eth0,bytes].min(180)}>500MB

Это выражение будет определено как ПРОБЛЕМА, когда сумма полученных байт за последних 3 минут на интерфейсе eth0 превышает 500MB.

Осталось посчитать, сколько трафика можно получить за 3 мин, на скорость 400 мбит.
400мбит в сек это скорость, это означает, что за 1 сек прилетает 400/8=50 МБАЙТ *60*3=9000 МБАЙТ=9ГБ
, если я ошибся то меня поправят )), но получается так:
{www.zabbix.com:net.if.in[eth0,bytes].min(180)}>9000MB

**Melanxolik** · 16-05-2013, 11:22

Да, но а если требуется динамические данные, то есть процент трафика вырос на столько ко-то.
Ведь мы не всегда можем оперировать конкртными цифрами.

**Heilig** · 16-05-2013, 11:52

Да, не всегда, но в большинстве случаев это возможно.
Зачем усложнять? Создайте триггер с наиболее подходящей Вам функцией (например, с предложенной выше "min") и пороговым значением выбранным исходя из среднего значения для этого элемента данных, например за последний месяц/год.

**Melanxolik** · 16-05-2013, 12:15

Хорошо, зайду с другой стороны.
У нас трафик является не постоянным, но линейным, утром он может составлять 30мегабит, днем поднимается до 500ти, тоже самое и пакет рейт тоже такой же, но в момент когда резко сваливается +гигабит ddos его надо быстро выделить среди обычного трафика и по статистике это резкий всплеск в 2 - 5 раз по сравнению с тем что был 5ть минут назад.
От сюда потребность в динамике.

**Jimson** · 16-05-2013, 12:43

вопрос то ваш в чем ?
обычный триггер avg(300) / avg(60) > 2 или avg(60) / avg(300) > 2 выделит вам скачки соответсвенно в сторону уменьшения и в сторону увеличения трафика в два раза

вот только такие короткие интервалы обязательно дадут ложные срабатывания

P.S. кроме увеличения интервалов и возможности сдвига во времени в в функциях avg() вам еще стоит подумать о разных treshold для разных состояний тригера, короче говоря rtfm

**cmd** · 16-05-2013, 13:34

настроить работу разных тригеров в разное время..., утром это один тригер в одним значением..., днем другой и так далее

тока я не знаю, как это сделать )))

**ugh** · 16-05-2013, 13:46

Jimson дело говорит
сравнивайте среднее значение за несколько предыдущих опросов со значением текущего опроса
а еще у вас есть скорость порта, можно на % ориентироваться)

**v.goncharov** · 17-05-2013, 14:30

Для вещей, меняющихся ежесуточно
(например, клиентский траффик)
очень удобным оказался такой подход: берем среднее арифметическое величин в это же время за предыдущие сутки. Т.е., например, добавляем вычисляемый элемент данных, который считает вот так:
(last("item",0,86400)+last("item",0,172800)+last(" item",0,259200))/3
назовем его avg_item.

А отклонения считать вот так:
(avg_item.last(0)-item.last(0))/avg_item.last(0)>0.2 (провал на 20%)
(avg_item.last(0)-item.last(0))/avg_item.last(0)<(-0.2) (выше на 20%)

А если ввести вычисляемый элемент данных item_percent_problem, вычисляемый по приведенной выше формуле, то через {item.lastvalue} в триггере можно выводить отклонение от среднего в процентах.

**Jimson** · 17-05-2013, 15:09

(пятница+суббота+воскресенье)/3 << понедельник
ну во всяком случае для корпоративных сетей

**cmd** · 17-05-2013, 15:26

все зависит от типа трафика..., а если это датацентр? :d

**Jimson** · 17-05-2013, 17:12

ну это очевидно что зависит
датацентр, простите, чего? вконтактик может и равномерную загрузку имеет, корпоративный сектор и все его сервисы в выходные бездельничают

**Navoyenok** · 20-05-2013, 09:41

Доброго времени суток!

Есть предложение сделать Item в котором "хранить значения как ": Delta. А триггер должен реагировать на это Delta.

С уважением, Navoyenok

**v.goncharov** · 20-05-2013, 09:56

Originally posted by jimson

(пятница+суббота+воскресенье)/3 << понедельник
ну во всяком случае для корпоративных сетей

Ну можно сделать (день недели + день недели (неделей раньше) + день недели (2 недели раньше))/3

Сейчас один из сервисов у меня так и мониторится

**Jimson** · 20-05-2013, 13:02

Рано или поздно праздничные дни устроят ложное срабатывание этих триггеров. Интерес на самом деле не праздный, фиг его знает как ловить всплески, или ловить только очень большие изменения: в 4-5 раз или даже больше.

Ad Widget

Хитрый тригер.

Хитрый тригер.

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment