Documentation
Table of Contents
2 グローバルイベント相関
概要
グローバルイベント相関は、Zabbixが監視するすべてのメトリクスにアクセスし、相関を作成することができます。
全く異なるトリガーで作成されたイベントを相関させ、それら全てに同じ操作を適用することが可能です。
インテリジェントな相関ルールを作成することで、何度も繰り返される通知から解放され、問題の根本的な原因に焦点を
当てることができます。何千もの繰り返しの通知から解放され、問題の根本的な原因に集中することができます。
グローバルイベント相関は、1つのトリガーに基づく問題解決ロジックから自分を解き放つことができる、強力なメカニズムです。
これまでは、1つの問題事象が1つのトリガーで作成され、問題解決のためにその同じトリガーに依存していました。
あるトリガーで発生した問題を、別のトリガーで解決することはできませんでした。しかし、イベント・タグ付けに基づく
イベント相関を利用すれば、それが可能になります。
例えば、ログトリガーはアプリケーションの問題を報告し、ポーリングトリガーはアプリケーションが稼働していることを
報告するかもしれません。イベントタグを利用して、ログトリガーを Status: Down とタグ付けすることができます。
その間、ポーリングトリガーをStatus: Up とタグ付けすることができます。次に、グローバル相関ルールで、これらのトリガーを
関連付け、古いイベントを閉じるなど、この相関に適切な操作を割り当てることができます。
別の使い方として、グローバル相関は類似のトリガーを識別し、同じ操作を適用することができます。
ネットワーク・ポートの問題ごとに1つの問題レポートしか得られないとしたらどうでしょう。全部を報告する必要はありません。
グローバルなイベント相関を使えば、それも可能です。
グローバルイベントの相関は、correlation rulesで設定されます。correlation rules では、新しい問題イベントを既存の
問題イベントとどのように組み合わせ、一致した場合にどうするかを定義します(新しいイベントを閉じ、対応するOKイベントを
生成して一致した古いイベントを閉じます)。 グローバル相関によって問題がクローズされると、Monitoring → Problems の Info カラムに報告されます。
グローバル相関ルールの設定は、Super Admin レベルのユーザーのみ可能です。
イベント相関は非常に慎重に設定する必要があります。イベント処理のパフォーマンスに悪影響を及ぼしたり、設定を誤ると
意図した以上のイベントがクローズされる可能性があるからです。(最悪の場合、すべての問題イベントがクローズされる
可能性もあります)
グローバル相関を 安全に 設定するために、次の重要なヒントを守ってください:
- 相関範囲を小さくする。古いイベントと対になる新しいイベントには常に一意のタグを設定し、New event tag の 相関条件を使用します。
- 古いイベントを閉じる*操作を使用する場合は、古いイベントに基づく条件を追加します(さもなければ、既存のすべての問題が 閉じられる可能性があります)。
- 異なる相関設定によって使用される可能性のある共通のタグ名を使用しないようにします。
- 相関ルールの数は、本当に必要なものに限定してください。
参照: known issues.
設定
イベント相関ルールをグローバルに設定するには
- Configuration → Event correlation に進みます。
- 右側の Create correlation をクリックします (または、既存のルールを編集するために相関名をクリックします)
- 相関ルールのパラメータをフォームに入力します。
必須入力項目には、赤いアスタリスクが表示されています。
| パラメータ | 説明 |
|---|---|
| Name | Unique correlation rule name. |
| Type of calculation | The following options of calculating conditions are available: And - all conditions must be met Or - enough if one condition is met And/Or - AND with different condition types and OR with the same condition type Custom expression - a user-defined calculation formula for evaluating action conditions. It must include all conditions (represented as uppercase letters A, B, C, ...) and may include spaces, tabs, brackets ( ), and (case sensitive), or (case sensitive), not (case sensitive). |
| Conditions | List of conditions. See below for details on configuring a condition. |
| Description | Correlation rule description. |
| Operations | Mark the checkbox of the operation to perform when event is correlated. The following operations are available: Close old events - close old events when a new event happens. Always add a condition based on the old event when using the Close old events operation or all existing problems could be closed. Close new event - close the new event when it happens |
| Enabled | If you mark this checkbox, the correlation rule will be enabled. |
新しい条件の詳細を設定するには、条件ブロックの 
をクリックします。
ポップアップウィンドウが開き、条件の詳細を編集することができます。
| パラメータ | 説明 |
|---|---|
| New condition | Select a condition for correlating events. Note that if no old event condition is specified, all old events may be matched and closed. Similarly if no new event condition is specified, all new events may be matched and closed. The following conditions are available: Old event tag - specify the old event tag for matching. New event tag - specify the new event tag for matching. New event host group - specify the new event host group for matching. Event tag pair - specify new event tag and old event tag for matching. In this case there will be a match if the values of the tags in both events match. Tag names need not match. This option is useful for matching runtime values, which may not be known at the time of configuration (see also Example 1). Old event tag value - specify the old event tag name and value for matching, using the following operators: equals - has the old event tag value does not equal - does not have the old event tag value contains - has the string in the old event tag value does not contain - does not have the string in the old event tag value New event tag value - specify the new event tag name and value for matching, using the following operators: equals - has the new event tag value does not equal - does not have the new event tag value contains - has the string in the new event tag value does not contain - does not have the string in the new event tag value |
設定ミスの可能性があるため、関係ない問題で似たようなイベントタグが作成される場合
以下のケースを確認してください。
- 実際のタグとタグの値は、トリガーが起動したときにのみ表示されます。使用された正規表現が無効な場合、それは黙って *UNKNOWN** 文字列に置き換えられます。タグの値を持つ最初の問題イベントを見逃すと、同じタグの値を持つ後続の OKイベントが現れ、本来閉じられるべきでない問題イベントを閉じることがあります。
- タグの値として、マクロ関数を使用しない{ITEM.VALUE}をタグの値として使用する場合、255文字の制限が適用されます。 ログメッセージが長く、最初の255文字が非特異的である場合、これはまた、無関係な問題のための類似のイベントタグに なる可能性があります。
例1
同じネットワークポートから繰り返し発生する問題事象を停止します。
このグローバルな相関ルールは、Host と Port タグ値がトリガに存在し、それらが元のイベントと新しいイベントで
同じであれば、問題を相関させます。
この操作は、同じネットワークポート上の新しい問題イベントを閉じ、元の問題のみを開いたままにします。