1 Корелација догађаја заснована на окидачу

Преглед

Корелација догађаја заснована на окидачу омогућава корелацију одвојених проблема пријављених од стране једног окидача.

Док генерално ОК догађај може затворити све проблемске догађаје креиране једним окидачем, постоје случајеви када је потребан детаљнији приступ. На пример, када надгледате датотеке евиденције, можда ћете желети да откријете одређене проблеме у датотеци евиденције и затворите их појединачно, а не заједно.

Ово је случај са окидачима који имају параметар ПРОБЛЕМ генерисање догађаја параметар постављен на Вишеструко. Такви окидачи се обично користе за праћење дневника, обраду замки, итд.

У Zabbix-у је могуће повезати догађаје проблема на основу означавања. Ознаке се користе за издвајање вредности и креирање идентификације за проблемске догађаје. Користећи то, проблеми се такође могу затворити појединачно на основу подударне ознаке.

Другим речима, исти окидач може да креира одвојене догађаје идентификоване ознаком догађаја. Због тога се проблемски догађаји могу идентификовати један по један и затворити одвојено на основу идентификације помоћу ознаке догађаја.

Како то ради

У праћењу дневника можете наићи на редове сличне овим:

Линија 1: Услуга 1 заустављена Линија2: Услуга 2 заустављена Линија 3: Услуга 1 је поново покренута Линија 4: Услуга 2 је поново покренута

Идеја корелације догађаја је да се проблемски догађај из Линије 1 усклади са резолуцијом из Линије 3 и проблемски догађај са линије 2 до решења из линије 4 и затворите ове проблеме један по један:

Линија 1: Услуга 1 заустављена Лине3: Услуга 1 је поново покренута #проблем из Линије 1 затворен

Лине2: Услуга 2 заустављена Линија4: Услуга 2 је поново покренута #проблем из Линије 2 затворен

Да бисте то урадили, потребно је да означите ове повезане догађаје као, на пример, "Услуга 1" и "Услуга 2" . То се може урадити применом регуларног израза на линију дневника да бисте издвојили вредност ознаке. Затим, када се догађаји креирају, они се означавају као „Услуга 1” и „Услуга 2” респективно и проблем се може ускладити са решењем.

Конфигурација

Ставка

За почетак, можда ћете желети да подесите ставку која надгледа датотеку евиденције, на пример:

log[/var/log/syslog]

Када је ставка подешена, сачекајте минут да се промене конфигурације покупе, а затим идите на Најновији подаци да бисте били сигурни да је ставка почела да прикупља податке.

Окидач

Док ставка ради, потребно је да конфигуришете окидач. Важно је одлучити на које уносе у датотеци евиденције вреди обратити пажњу. На пример, следећи израз окидача ће тражити стринг као што је 'Стоппинг' да би сигнализирао потенцијалне проблеме:

find(/My host/log[/var/log/syslog],,"regexp","Stopping")=1

Онда дефинише израз за опоравак. Следећи израз за опоравак ће решити све проблеме ако се пронађе линија дневника која садржи стринг"Starting":

find(/My host/log[/var/log/syslog],,"regexp","Starting")=1

Пошто смо не желим да је важно некако се уверити да су одговарајући основни проблеми затворени, а не само сви проблеми. Ту означавање може помоћи.

Проблеми и решења се могу ускладити навођењем ознаке у конфигурацији окидача. Морају се извршити следећа подешавања:

• Режим генерисања проблема: Вишеструко
• ОК догађај се затвара: Сви проблеми ако се вредности ознаке подударају
• Унесите назив ознаке за подударање догађаја

-конфигуришите ознаке за издвајање вредности ознака из редова дневника

Ако се успешно конфигурише, моћи ћете да видите догађаје проблема означене апликацијом и упарене са њиховом резолуцијом у Надгледању →Проблеми.

• Са две апликације о грешци у писању и порукама за опоравак на исту датотеку евиденције корисник може одлучити да користи две ознаке * service* у истом покретачу са различитим вредностима ознака коришћењем засебних регуларних израза у вредностима ознаке да би издвојио имена, рецимо, услуге А и услуге Б из макроа {ITEM.VALUE} (нпр. када се формати порука разликују). Међутим, ово можда неће функционисати како је планирано ако нема подударања са регуларним изразима. Неподударни редовни изрази ће дати празне вредности ознаке и једна вредност празног ознаке у оба догађаја проблема и ОК је довољна да их повеже. Дакле, порука за опоравак од услуге А може случајно да затвори поруку о грешци са услуге Б.

• Стварне ознаке и вредности ознака постају видљиве само када окидач пали. Ако је коришћени регуларни израз неважећи, тихо се замењује стрингом *УНКНОВН*. Ако се пропусти почетни проблем са вредношћу ознаке* UNKNOWN*, могу се појавити накнадни ОК догађај са истом вредношћу ознаке * UNKNOWN* који могу затворити проблемске догађаје које не би требало да затварају.

• Ако корисник користи макро {ITEM.VALUE} без макро функција као вредност ознаке, примењује се ограничење од 255 знакова. Када су поруке дневника дугачке и првих 255 знакова нису специфични, то такође може резултирати сличним ознакама догађаја за неповезане проблеме.