Correlació global d'esdeveniments

Vista general

La correlació d'esdeveniments global permet arribar a totes les mètriques monitorades per Zabbix i crear correlacions.

És possible correlacionar esdeveniments creats per triggers completament diferents i aplicar les mateixes operacions a tots ells. En crear regles de correlació intel·ligents, és possible estalviar-vos milers de notificacions repetitives i centrar-vos en les causes d'un problema!

La correlació global d'esdeveniments és un mecanisme potent que us permet separar-vos de la lògica de resolució i problemes basats en triggers. Fins ara, només un esdeveniment problema es creava per un trigger i depeníem d'aquest mateix trigger per resoldre el problema. No hem pogut resoldre un problema creat per un trigger amb un altre trigger. Però amb la correlació d'esdeveniments basada en el marcatge d'esdeveniments, és possible.

Per exemple, un trigger de registre pot indicar problemes de l'aplicació, mentre que un trigger de sondeig pot indicar si l'aplicació és operativa. Aprofitant les etiquetes d'esdeveniment, podeu etiquetar el trigger del registre com a Estat: Caigut mentre marqueu el trigger de l'enquesta com a Estat:Aixecat. Aleshores, en una regla de correlació global, podeu enllaçar aquests triggers i assignar una operació adequada a aquesta correlació, com ara tancar esdeveniments antics.

En un altre ús, la correlació global pot identificar desencadenants similars i aplicar-hi la mateixa operació. Què passaria si només poguéssim obtindre un informe de problema per problema de port de xarxa? No cal declarar-los tots. Això també és possible amb la correlació d'esdeveniments globals.

La correlació global d'esdeveniments es configura a regles de correlació. Una regla de correlació defineix com es combinen els nous esdeveniments problemàtics amb els esdeveniments problemàtics existents i què fer en cas de coincidència (tancar el nou esdeveniment, tancar els antics esdeveniments de concordança generant esdeveniments d'acord coincidents). Si un problema es tanca per correlació global, s'informa a la columna Informació de SupervisióProblemes.

La configuració de regles de correlació global només és disponible per a usuaris de nivell superadministrador.

La correlació d'esdeveniments s'ha de configurar amb molta cura, ja que pot afectar negativament el rendiment del processament d'esdeveniments o, si es configura incorrectament, tancar més esdeveniments dels esperats (en el pitjor dels casos, fins i tot es podrien tancar tots els esdeveniments problemàtics).

Per configurar la correlació global de manera segura, seguiu aquests consells importants:

  • Reduir l'abast de la correlació. Definiu sempre una etiqueta única per al nou esdeveniment associat amb els antics esdeveniments i empreu la condició de correlació Etiqueta d'esdeveniment nova;
  • Afegiu una condició basada en l'esdeveniment antic quan empreu l'operació Tancar esdeveniment antic (en cas contrari es podrien tancar tots els problemes existents);
  • Eviteu emprar noms d'etiquetes comuns que poden ser emprats per diferents configuracions de correlació;
  • Limiteu el nombre de regles de correlació a les que realment necessiteu.

Veieu també: problemes coneguts.

Configuració

Per configurar globalment regles de correlació d'esdeveniments:

  • Aneu a ConfiguracióCorrelació d'esdeveniments
  • Feu clic a Crear una correlació a la dreta (o al nom de la correlació per modificar una regla existent)
  • Introduïu els paràmetres de la regla de correlació al formulari

correlation_rule.png

Tots els camps d'entrada obligatoris són marcats amb un asterisc vermell.

Paràmetre Descripció
Name Nom únic de la regla de correlació.
Type of calculation Les opcions següents per calcular les condicions són disponibles:
I - s'han de complir totes les condicions
O - prou si es compleix una condició
** I/O** - I amb diferents tipus de condició i O amb el mateix tipus de condició
Expressió personalitzada: una fórmula de càlcul definida per l'usuari per avaluar les condicions d'acció. Ha d'incloure totes les condicions (representades amb lletres majúscules A, B, C, ...) i pot incloure espais, tabulacions, parèntesis ( ), i (distingeix entre majúscules i minúscules), o (distingeix entre majúscules i minúscules) , no (distingeix entre majúscules i minúscules).
Conditions Llista de condicions. Veieu a continuació per obtindre més informació sobre com configurar una condició.
Description Descripció de la regla de correlació.
Operations Marqueu la casella de l'operació a realitzar quan l'esdeveniment estigui correlacionat. Les operacions següents són disponibles:
Tanca els esdeveniments antics - tanca els esdeveniments antics quan es produeix un esdeveniment nou. Afegiu sempre una condició basada en l'esdeveniment antic quan empreu l'operació Tanca esdeveniments antics o es poden tancar tots els problemes existents.
Tanca l'esdeveniment nou - tanca l'esdeveniment nou quan es produeixi
Enabled Si marqueu aquesta casella, s'habilitarà la regla de correlació.

Per configurar els detalls d'una condició nova, feu clic a al bloc Condicions. S'obrirà una finestra emergent on podeu editar els detalls de la condició.

Paràmetre Descripció
New condition Trieu una condició per correlacionar els esdeveniments.
Tingueu en compte que si no s'especifica cap condició d'esdeveniment antiga, tots els esdeveniments antics es poden fer coincidir i tancar. De la mateixa manera, si no s'especifica cap condició d'esdeveniment nova, es poden fer coincidir i tancar tots els esdeveniments nous.
Les condicions següents estan disponibles:
Nom de l'etiqueta d'esdeveniment antiga - especifiqueu l'etiqueta d'esdeveniment antiga per fer coincidir.<br >Nou nom de l'etiqueta d'esdeveniment - especifiqueu una etiqueta d'esdeveniment nova per fer coincidir.
Equip d'esdeveniment del grup d'esdeveniment nou: especifiqueu un grup d'equips d'esdeveniment nou per fer coincidir.
Parell d'etiquetes d'esdeveniment - especifiqueu etiqueta nova d'esdeveniment i etiqueta antiga d'esdeveniment per fer coincidir. En aquest cas, hi haurà una coincidència si els valors de les etiquetes dels dos esdeveniments coincideixen. L'etiqueta names no ha de coincidir.
Aquesta opció és útil per fer coincidir els valors d'execució, que potser no es coneguin en el moment de la configuració (veieu també l'exemple 1).< br>Valor de l'etiqueta d'esdeveniment antic - especifiqueu el nom i el valor de l'etiqueta d'esdeveniment antiga per a la coincidència, emprant els operadors següents:
igual - té un valor d'etiqueta d'esdeveniment antic
no és igual - no té un valor d'etiqueta d'esdeveniment antic
conté - té la cadena al valor de l'etiqueta d'esdeveniment antic
no conté - no té una cadena al valor de l'etiqueta d'esdeveniment antic
Nou valor de l'etiqueta d'esdeveniment - especifiqueu el nom i el valor de l'etiqueta d'esdeveniment nova per a la coincidència, emprant els operadors següents:
igual - té el valor de l'etiqueta d'esdeveniment nou
no és igual - no té una etiqueta d'esdeveniment nova valor
conté - conté una cadena a l'etiqueta d'esdeveniment nova valor
no conté - no conté una cadena a l'etiqueta d'esdeveniment nova valor

Com que és possible que hi hagi una configuració incorrecta, on es poden crear etiquetes d'esdeveniments similars per a problemes no relacionats, reviseu els casos que es descriuen a continuació.

  • Les etiquetes i els valors d'etiquetes reals només són visibles quan s'activa un trigger. Si l'expressió regular emprada no és vàlida, es substitueix en silenci per una cadena *DESCONEGUDA*. Si es perd l'esdeveniment de problema inicial amb un valor d'etiqueta *DESCONEGUDA*, els esdeveniments OK posteriors poden aparèixer amb el mateix valor de l'etiqueta *DESCONEGUDA* que poden tancar esdeveniments de problema que no haurien de tancar.
  • Si un usuari empra la macro {ITEM.VALUE} sense funcions de macro com a valor d'etiqueta, s'aplica el límit de 255 caràcters. Quan els missatges de registre són llargs i els primers 255 caràcters no són específics, això també pot donar lloc a etiquetes d'esdeveniments similars per a problemes no relacionats.

Exemple

Aturar els esdeveniments de problemes repetitius a partir d'un mateix port de xarxa.

Aquesta regla de correlació global correlarà els problemes si els valors de les etiquetes Equip i Port existeixen al trigger i són idèntiques tant a l'esdeveniment original com al nou.

L'operació tancarà els nous esdeveniments de problemes sota el mateix port de xarxa, deixant només el problema original obert..