La correlación de eventos basada en iniciadores permite correlacionar problemas separados informados por un iniciador.
Si bien generalmente un evento OK puede cerrar todos los eventos problemáticos creados por un iniciador, hay casos en los que se necesita un enfoque más detallado. Por ejemplo, al monitorear archivos de registro es posible que desee descubrir ciertos problemas en un archivo de registro y cerrarlos individualmente en lugar de todos juntos.
Este es el caso de los iniciadores que tienen el parámetro MODO DE GENERACIÓN DE EVENTOS PROBLEMA establecido en Múltiple. Estos iniciadores se utilizan normalmente para la supervisión de registros, procesamiento de atrapadores, etc.
Es posible en Zabbix relacionar eventos de problemas basados en el etiquetado. Las etiquetas se utilizan para extraer valores y crear identificación para eventos problemáticos. Aprovechando eso, los problemas también se pueden cerrar individualmente según la etiqueta coincidente.
En otras palabras, el mismo iniciador puede crear eventos separados identificados por la etiqueta del evento. Por lo tanto, los eventos problemáticos se pueden identificar uno por uno y ser cerrados por separado según la identificación mediante la etiqueta de evento.
En el monitoreo de registros, puede encontrar líneas similares a estas:
Línea 1: Aplicación 1 detenida
Line2: Aplicación 2 detenida
Línea 3: se reinició la aplicación 1
Línea 4: se reinició la aplicación 2
La idea de la correlación de eventos es poder hacer coincidir el evento del problema. de Line1 a la resolución de Line3 y el evento de problema de Line2 a la resolución de Line4, y cierre estos problemas uno por uno:
Línea 1: Aplicación 1 detenida
Línea 3: la aplicación 1 se reinició #problema de la línea 1 cerrada
Line2: Aplicación 2 detenida
Línea 4: se reinició la aplicación 2 #problema de la línea 2 cerrada
Para hacer esto, debe etiquetar estos eventos relacionados como, por ejemplo, "Aplicación 1" y "Aplicación 2". Eso se puede hacer aplicando un expresión regular a la línea de registro para extraer el valor de la etiqueta. Entonces cuando se crean eventos, se etiquetan como "Aplicación 1" y "Aplicación 2" respectivamente y el problema puede coincidir con la resolución.
Configuración
Para empezar, es posible que desee configurar un elemento que supervise un archivo de registro, por ejemplo:
Con el elemento configurado, espere un minuto para que se realicen los cambios de configuración. recogido y luego vaya a Último data para asegúrese de que el elemento haya comenzado a recopilar datos.
Con el elemento funcionando, debe configurar el disparador. Es importante decidir a qué entradas en el archivo de registro vale la pena prestar atención. Por ejemplo, la siguiente expresión desencadenante buscará una cadena como 'Parar' para señalar posibles problemas:
Para asegurarse de que cada línea que contiene la cadena "Detener" se considera un problema, también establezca el evento * Problema modo de generación* en configuración de disparador a 'Múltiple'.
Luego defina una expresión de recuperación. La siguiente expresión de recuperación resolverá todos los problemas si se encuentra una línea de registro que contiene la cadena "Comenzando":
Como no queremos eso, es importante asegurarse de alguna manera de que el se cierran los problemas raíz correspondientes, no solo todos los problemas. Ese es donde el etiquetado puede ayudar.
Los problemas y las resoluciones pueden coincidir especificando una etiqueta en el configuración del disparador. Se deben realizar los siguientes ajustes:
Si se configura correctamente, podrá ver los eventos problemáticos etiquetados por aplicación y emparejados con su resolución en Monitoreo → Problemas.
::: nota de advertencia Porque la mala configuración es posible, cuando similar se pueden crear etiquetas de eventos para problemas no relacionados, revise la casos descritos a continuación! :::