Ad Widget

**teddy** · 26-07-2025, 17:18

Все достаточно просто.
1. делаете триггер в режиме Multiple
2. делаете выражение восстановления на такой тригер - NONE
3. разрешаете ручное закрытие.

Что имеем? Срабатывает триггер на все входы. но висит "вечно", пока руками не закроешь. Не всегда удобно. Если придумаете на что реагировать чтоб закрыть - вписываем в
условие закрытия. Я не придумал.

Потому чтоб убрать "вечные" алерты я делаю следующее:
в разделе Alerts - Scripts у меня есть такой скрипт "close trigger by API v.2.1" выполнение которого закрывает текущий алерт через API.
на выше описаный тригер я вешаю tag c названием autoclose и значением 24h
в разделе Alerts - Trigger actions создаю action с названием Trigger auto close over 24h by tag AUTOCLOSE.

таким образом через 24h такой алерт сам закроется. можно сделать пачку аналогичных triger action на 6h, 12h и т.д. Но мне хватает одного на 24

Сам скрипт autoclose ниже ( для версии 6.4+, для более старших есть в интернете и тут на форуме. он чуть отличется )

Code:

try {
    var req = new HttpRequest(),
        params = JSON.parse(value),
        eventid = params.eventid,
        token = params.token,
        url = params.url,
        body,
        resp;

    Zabbix.log(4, '[Closing problem] starts: eventid=' + eventid + '", url="' + url + '".');

    //Validation
    if (typeof eventid !== 'string' || eventid.trim() === '') {
        throw 'The eventid must be defined in macro "{EVENT.ID}".';
    }

    if (typeof token !== 'string' || token.trim() === '') {
        throw 'The token must be defined in macro "{$Z_API_TOKEN}".';
    }

    if (typeof url !== 'string' || !(url.startsWith('http://') || url.startsWith('https://'))) {
        throw 'The URL (starting with "http://" or "https://") must be defined in macro "{$Z_API_PHP}".';
    }

    if (typeof params.HTTPProxy === 'string' && params.HTTPProxy.trim() !== '') {
        req.SetProxy(params.HTTPProxy);
    }

    //Processing logic
    req.addHeader('Authorization: Bearer ' + token.trim());
    req.addHeader('Content-Type: application/json');
    body = {
        'jsonrpc': '2.0',
        'method': 'event.acknowledge',
        'params': {
            'eventids': eventid.trim(),
            'action': 1,
            'message': 'Problem auto-closed.'
        },
        'id': 1
    };
    resp = req.post(url.trim(),
        JSON.stringify(body)
    );

    if (req.getStatus() != 200) {
        throw 'Response code: ' + req.getStatus();
    }

    Zabbix.log(4, '[Closing problem] returned: ' + resp);
    resp = JSON.parse(resp);
    if ('error' in resp) {
        throw ('API error: ' + resp.error.message + '; ' + resp.error.data);
    }

} catch (error) {
    Zabbix.log(3, '[Closing problem] cannot close event "' + eventid + '": ' + error);
    throw 'Cannot close event ' + eventid + ': ' + error;
}

return 'OK';

Макросы лучше задать глобально в разделе Administartion - Macros тогда фичу с автозакрытием алерта по времени жизни можно использовать и в других триггерах
{$Z_API_PHP} - URL https://вашзаббикс//api_jsonrpc.php
{$Z_API_TOKEN} - токен для API. как его получить написано в документации чтоб не повторятся. лучше для API создать отдельного пользователя. но тут уже на ваш вкус.

**teddy** · 26-07-2025, 17:18

Все достаточно просто.
1. делаете триггер в режиме Multiple
2. делаете выражение восстановления на такой тригер - NONE
3. разрешаете ручное закрытие.

Что имеем? Срабатывает триггер на все входы. но висит "вечно", пока руками не закроешь. Не всегда удобно. Если придумаете на что реагировать чтоб закрыть - вписываем в
условие закрытия. Я не придумал.

Потому чтоб убрать "вечные" алерты я делаю следующее:
в разделе Alerts - Scripts у меня есть такой скрипт "close trigger by API v.2.1" выполнение которого закрывает текущий алерт через API.
на выше описаный тригер я вешаю tag c названием autoclose и значением 24h
в разделе Alerts - Trigger actions создаю action с названием Trigger auto close over 24h by tag AUTOCLOSE.

таким образом через 24h такой алерт сам закроется. можно сделать пачку аналогичных triger action на 6h, 12h и т.д. Но мне хватает одного на 24

Сам скрипт autoclose ниже ( для версии 6.4+, для более старших есть в интернете и тут на форуме. он чуть отличется )

Code:

try {
    var req = new HttpRequest(),
        params = JSON.parse(value),
        eventid = params.eventid,
        token = params.token,
        url = params.url,
        body,
        resp;

    Zabbix.log(4, '[Closing problem] starts: eventid=' + eventid + '", url="' + url + '".');

    //Validation
    if (typeof eventid !== 'string' || eventid.trim() === '') {
        throw 'The eventid must be defined in macro "{EVENT.ID}".';
    }

    if (typeof token !== 'string' || token.trim() === '') {
        throw 'The token must be defined in macro "{$Z_API_TOKEN}".';
    }

    if (typeof url !== 'string' || !(url.startsWith('http://') || url.startsWith('https://'))) {
        throw 'The URL (starting with "http://" or "https://") must be defined in macro "{$Z_API_PHP}".';
    }

    if (typeof params.HTTPProxy === 'string' && params.HTTPProxy.trim() !== '') {
        req.SetProxy(params.HTTPProxy);
    }

    //Processing logic
    req.addHeader('Authorization: Bearer ' + token.trim());
    req.addHeader('Content-Type: application/json');
    body = {
        'jsonrpc': '2.0',
        'method': 'event.acknowledge',
        'params': {
            'eventids': eventid.trim(),
            'action': 1,
            'message': 'Problem auto-closed.'
        },
        'id': 1
    };
    resp = req.post(url.trim(),
        JSON.stringify(body)
    );

    if (req.getStatus() != 200) {
        throw 'Response code: ' + req.getStatus();
    }

    Zabbix.log(4, '[Closing problem] returned: ' + resp);
    resp = JSON.parse(resp);
    if ('error' in resp) {
        throw ('API error: ' + resp.error.message + '; ' + resp.error.data);
    }

} catch (error) {
    Zabbix.log(3, '[Closing problem] cannot close event "' + eventid + '": ' + error);
    throw 'Cannot close event ' + eventid + ': ' + error;
}

return 'OK';

Макросы лучше задать глобально в разделе Administartion - Macros тогда фичу с автозакрытием алерта по времени жизни можно использовать и в других триггерах
{$Z_API_PHP} - URL https://вашзаббикс//api_jsonrpc.php
{$Z_API_TOKEN} - токен для API. как его получить написано в документации чтоб не повторятся. лучше для API создать отдельного пользователя. но тут уже на ваш вкус.

**frofis** · 28-07-2025, 08:03

Приветствую, teddy!

Спасибо ОГРОМНОЕ. Я попробую.
Multiple я пробовал, но он реагирует не только на второе, третье событие, но даже если было одно событие по нескольку раз, или я что-то не понял.

**Semiadmin** · 28-07-2025, 12:55

Если закрытием проблемы с входом пользователя является его выход, то можно применить Trigger-based event correlation. В доке есть пример с остановкой/запуском сервисов, аналогично можно сделать для пользователей.

**frofis** · 28-07-2025, 13:39

Спасибо, Semiadmin!

Multiple реагирует на одно и то же событие по нескольку раз, это правильно?

**Semiadmin** · 28-07-2025, 13:48

Если настроить триггер правильно, в режиме multiple он будет срабатывать на разные события, но не ждать завершения предыдущей проблемы, чтобы создать новую

**frofis** · 28-07-2025, 14:47

Спасибо, Semiadmin!
Помогите, что я делаю не так?

Данные
Имя: Вход пользователя
Тип: Zabbix агент (активный)
Ключ: eventlog[Security,"Тип входа:\s*(2|10)",,,4624,,skip]
Тип информации: Журнал (лог)
Предобработка:
Регулярное выражение (?s)Вход

.*)Имя учетной записи

.*)Домен(.*)User32(.*) \2
все остальное по умолчанию

Тригер
Имя: Вход пользователя: {ITEM.LASTVALUE}
Выражение: logseverity(/Template Windows Event Logs/eventlog[Security,"Тип входа:\s*(2|10)",,,4624,,skip])>1 and nodata(/Template Windows Event Logs/eventlog[Security,"Тип входа:\s*(2|10)",,,4624,,skip],12h)<>1
все остальное по умолчанию

**Semiadmin** · 28-07-2025, 14:50

nodata не стоит использовать в multiple режиме, т.к. триггер будет пересчитываться не только при получении записи из лога, но и каждые полминуты, и каждый раз будет генериться проблема, пока не истекут эти 12 часов со времени получения последней записи

**frofis** · 28-07-2025, 15:06

Спасибо, Semiadmin!

Убрал nodata
Установил Множественный
Все равно сворачивается в историю

Нужно еще что-то сделать?

**frofis** · 28-07-2025, 15:15

Дошло
2. делаете выражение восстановления на такой тригер - NONE

**Semiadmin** · 28-07-2025, 15:16

попробовать сделать по образцу из доки, если подходит схема с закрытием проблемы по выходу юзера

**frofis** · 28-07-2025, 15:35

Спасибо, Semiadmin!
Вроде получилось.
Возможно я сделаю как посоветовал teddy

**frofis** · 29-07-2025, 12:21

teddy, спасибо!
Все заработало

Ad Widget

Хочется странного

Хочется странного

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment