Documentation
Table of Contents
1 Корелација догађаја заснована на окидачу
Преглед
Корелација догађаја заснована на окидачу омогућава корелацију одвојених проблема пријављених од стране једног окидача.
Док генерално ОК догађај може затворити све проблемске догађаје креиране једним окидачем, постоје случајеви када је потребан детаљнији приступ. На пример, када надгледате датотеке евиденције, можда ћете желети да откријете одређене проблеме у датотеци евиденције и затворите их појединачно, а не заједно.
Ово је случај са окидачима који имају параметар ПРОБЛЕМ генерисање догађаја параметар постављен на Вишеструко. Такви окидачи се обично користе за праћење дневника, обраду замки, итд.
У Zabbix-у је могуће повезати догађаје проблема на основу означавања. Ознаке се користе за издвајање вредности и креирање идентификације за проблемске догађаје. Користећи то, проблеми се такође могу затворити појединачно на основу подударне ознаке.
Другим речима, исти окидач може да креира одвојене догађаје идентификоване ознаком догађаја. Због тога се проблемски догађаји могу идентификовати један по један и затворити одвојено на основу идентификације помоћу ознаке догађаја.
Како то ради
У праћењу дневника можете наићи на редове сличне овим:
Линија 1: Услуга 1 заустављена Линија2: Услуга 2 заустављена Линија 3: Услуга 1 је поново покренута Линија 4: Услуга 2 је поново покренута
Идеја корелације догађаја је да се проблемски догађај из Линије 1 усклади са резолуцијом из Линије 3 и проблемски догађај са линије 2 до решења из линије 4 и затворите ове проблеме један по један:
Линија 1: Услуга 1 заустављена Лине3: Услуга 1 је поново покренута #проблем из Линије 1 затворен
Лине2: Услуга 2 заустављена Линија4: Услуга 2 је поново покренута #проблем из Линије 2 затворен
Да бисте то урадили, потребно је да означите ове повезане догађаје као, на пример, "Услуга 1" и "Услуга 2" . То се може урадити применом регуларног израза на линију дневника да бисте издвојили вредност ознаке. Затим, када се догађаји креирају, они се означавају као „Услуга 1” и „Услуга 2” респективно и проблем се може ускладити са решењем.
Конфигурација
Ставка
За почетак, можда ћете желети да подесите ставку која надгледа датотеку евиденције, на пример:
log[/var/log/syslog]
Када је ставка подешена, сачекајте минут да се промене конфигурације покупе, а затим идите на Најновији подаци да бисте били сигурни да је ставка почела да прикупља податке.
Окидач
Док ставка ради, потребно је да конфигуришете окидач. Важно је одлучити на које уносе у датотеци евиденције вреди обратити пажњу. На пример, следећи израз окидача ће тражити стринг као што је 'Stopping' да би сигнализирао потенцијалне проблеме:
find(/My host/log[/var/log/syslog],,"regexp","Stopping")=1
Да бисте били сигурни да се сваки ред који садржи стринг "Stopping" сматра проблемом, такође подесите Режим генерисања проблема догађаја у конфигурацији окидача на 'Multiple'.
Онда дефинишите израз за опоравак. Следећи израз за опоравак ће решити све проблеме ако се пронађе лог линија која садржи стринг "Starting":
find(/My host/log[/var/log/syslog],,"regexp","Starting")=1
Пошто то не желимо, важно је некако се уверити да су одговарајући основни проблеми затворени, а не само сви проблеми. Ту означавање може помоћи.
Проблеми и решења се могу ускладити навођењем ознаке у конфигурацији окидача. Морају се извршити следећа подешавања:
- Режим генерисања проблема: Вишеструко
- ОК догађај се затвара: Сви проблеми ако се вредности ознаке подударају
- Унесите назив ознаке за подударање догађаја
- конфигуришите ознаке за издвајање вредности ознака из лог редова
Ако се успешно конфигурише, моћи ћете да видите догађаје проблема означене апликацијом и упарене са њиховом резолуцијом у Надгледање → Проблеми.
Зато што је могућа погрешна конфигурација када се сличне ознаке догађаја могу креирати за неповезане проблеме, молимо прегледајте случајеве наведене у наставку!
Индексирани макрои се увек односе на поље Израз конфигурације окидача, а не на Израз за опоравак. На пример, у догађају опоравка, {ITEM.VALUE1} ће се разрешити на најновију вредност прве ставке У изразу проблема у време опоравка. Ако је израз за опоравак заснован на другој ставци и вредност ставке израза проблема се промени до тренутка опоравка, догађаји ће добити различите ознаке и неће бити повезани.
Са две апликације о грешци у писању и порукама за опоравак на исту датотеку евиденције корисник може одлучити да користи две ознаке service у истом окидачу са различитим вредностима ознака коришћењем засебних регуларних израза у вредностима ознаке да би издвојио имена, рецимо, услуге А и услуге Б из макроа {ITEM.VALUE} (нпр., када се формати порука разликују). Међутим, ово можда неће функционисати како је планирано ако нема подударања са регуларним изразима. Неподударни регуларни изрази ће дати празне вредности ознаке и једна вредност празне ознаке у оба догађаја проблема и ОК догађаја је довољна да их повеже. Дакле, порука за опоравак од услуге А може случајно да затвори поруку о грешци са услуге Б.
Стварне ознаке и вредности ознака постају видљиве само када окидач пали. Ако је коришћени регуларни израз неважећи, тихо се замењује стрингом *UNKNOWN*. Ако се пропусти почетни проблем са вредношћу ознаке * UNKNOWN*, могу се појавити накнадни ОК догађаји са истом вредношћу ознаке * UNKNOWN* који могу затворити проблемске догађаје које не би требало да затварају.
Ако корисник користи макро {ITEM.VALUE} без макро функција као вредност ознаке, примењује се ограничење од 255 карактера. Када су лог поруке дугачке и првих 255 карактера нису специфични, то такође може резултирати сличним ознакама догађаја за неповезане проблеме.