Esta es una traducción de la página de documentación original en español. Ayúdanos a mejorarla.

2 Correlación de eventos globales

Descripción general

La correlación global de eventos permite llegar a todas las métricas monitoreadas por Zabbix y crear correlaciones.

Es posible correlacionar eventos creados por iniciadores completamente diferentes y aplicar las mismas operaciones a todos ellos. Al crear reglas de correlación inteligentes, es posible ahorrarse miles de notificaciones repetitivas y concentrarse en las causas raíz de un problema.

La correlación global de eventos es un mecanismo poderoso que le permite desvincularse de la lógica de resolución y problemas basada en un iniciador. Hasta ahora, un solo evento problemático era creado por un iniciador y dependíamos de ese mismo iniciador para la resolución del problema. No podíamos resolver un problema creado por un iniciador con otro iniciador. Pero con la correlación de eventos basada en el etiquetado de eventos, podemos hacerlo.

Por ejemplo, un iniciador de registro puede informar problemas de la aplicación, mientras que un iniciador de sondeo puede informar que la aplicación está en funcionamiento. Aprovechando las etiquetas de eventos, puede etiquetar el iniciador de registro como status:down mientras que etiqueta el iniciador de sondeo como status:up. Luego, en una regla de correlación global, puede relacionar estos iniciadores y asignar una operación apropiada a esta correlación, como cerrar los eventos antiguos.

En otro uso, la correlación global puede identificar iniciadores similares y aplicarles la misma operación. ¿Qué sucedería si pudiéramos obtener solo un informe de problemas por cada problema de puerto de red? No es necesario informarlos todos. Eso también es posible con la correlación de eventos global.

La correlación de eventos global se configura en reglas de correlación. Una regla de correlación define cómo se emparejan los nuevos eventos de problemas con los eventos de problemas existentes y qué hacer en caso de una coincidencia (cerrar el nuevo evento, cerrar los eventos antiguos coincidentes generando los eventos OK correspondientes).

Si un problema se cierra mediante correlación global, se informa en la columna Información de MonitoreoProblemas.

La configuración de reglas de correlación global está disponible solo para usuarios de nivel superadministrador.

La correlación de eventos debe configurarse con mucho cuidado, ya que puede afectar negativamente el rendimiento del procesamiento de eventos o, si se configura incorrectamente, cerrar más eventos de los previstos (en el peor de los casos, incluso se podrían cerrar todos los eventos problemáticos).

Para configurar la correlación global de manera segura, tenga en cuenta los siguientes consejos importantes:

  • Reduzca el alcance de la correlación. Siempre configure una etiqueta única para el nuevo evento que esté emparejado con eventos antiguos y use la condición de correlación Nueva etiqueta de evento ;
  • Agregue una condición basada en el evento antiguo cuando use la operación Cerrar evento antiguo (de lo contrario, se podrían cerrar todos los problemas existentes);
  • Evite usar nombres de etiquetas comunes que pueden terminar siendo utilizados por diferentes configuraciones de correlación;
  • Limite la cantidad de reglas de correlación a las que realmente necesita.

Consulte también: problemas conocidos.

Configuración

Para configurar reglas de correlación de eventos globalmente:

  • Vaya a Recopilación de datosCorrelación de eventos
  • Haga clic en Crear correlación de eventos a la derecha (o en el nombre de la correlación para editar una regla existente)
  • Ingrese los parámetros de la regla de correlación en el formulario

correlation_rule.png

Todos los campos de entrada obligatorios están marcados con un asterisco rojo.

Parámetro Descripción
Nombre Nombre único de la regla de correlación.
Tipo de cálculo Están disponibles las siguientes opciones para calcular las condiciones:
Y: se deben cumplir todas las condiciones
O: es suficiente si se cumple una condición
Y/O: Y con diferentes tipos de condición y O con el mismo tipo de condición
Expresión personalizada: una fórmula de cálculo definida por el usuario para evaluar las condiciones de acción. Debe incluir todas las condiciones (representadas como letras mayúsculas A, B, C, ...) y puede incluir espacios, tabulaciones, corchetes ( ), y (distingue entre mayúsculas y minúsculas), o (distingue entre mayúsculas y minúsculas), no (distingue entre mayúsculas y minúsculas).
Condiciones Lista de condiciones. Consulte a continuación los detalles sobre cómo configurar una condición.
Descripción Descripción de la regla de correlación.
Operaciones Marque la casilla de verificación de la operación que se realizará cuando el evento esté correlacionado. Están disponibles las siguientes operaciones:
Cerrar eventos antiguos: cierra eventos antiguos cuando ocurre un evento nuevo. Agregue siempre una condición basada en el evento anterior cuando utilice la operación Cerrar eventos anteriores o se podrían cerrar todos los problemas existentes.
Cerrar nuevo evento: cierra el nuevo evento cuando sucede
Habilitado Si marca esta casilla de verificación, se habilitará la regla de correlación.

Para configurar los detalles de una nueva condición, haga clic en en el bloque Condiciones. Se abrirá una ventana emergente donde podrá editar los detalles de la condición.

Parámetro Descripción
Nueva condición Seleccione una condición para correlacionar eventos.
Nota que si no se especifica ninguna condición de evento anterior, se pueden hacer coincidir y cerrar todos los eventos anteriores. De manera similar, si no se especifica ninguna condición de evento nuevo, se pueden hacer coincidir y cerrar todos los eventos nuevos.
Están disponibles las siguientes condiciones:
Etiqueta de evento anterior: especifique la etiqueta de evento anterior para la coincidencia.
Etiqueta de evento nueva: especifique la etiqueta de evento nueva para la coincidencia.
Grupo de host de evento nuevo: especifique el grupo de host de evento nuevo para la coincidencia.
Par de etiquetas de evento: especifique la etiqueta de evento nueva y la etiqueta de evento anterior para la coincidencia. En este caso, habrá una coincidencia si los valores de las etiquetas en ambos eventos coinciden. No es necesario que los nombres de las etiquetas coincidan.
Esta opción es útil para hacer coincidir valores de tiempo de ejecución, que pueden no conocerse en el momento de la configuración (consulte también Ejemplo 1).
Valor de etiqueta de evento anterior: especifique el nombre y el valor de la etiqueta de evento anterior para la coincidencia, utilizando los siguientes operadores:
equals: tiene el valor de la etiqueta de evento anterior
does not equal: no tiene el valor de la etiqueta de evento anterior
contains: tiene la cadena en el valor de la etiqueta de evento anterior
does not contains: no tiene la cadena en el valor de la etiqueta de evento anterior
Nuevo valor de etiqueta de evento: especifique el nombre y el valor de la nueva etiqueta de evento para la coincidencia, utilizando los siguientes operadores:
equals: tiene el nuevo valor de la etiqueta de evento
does not equal: no tiene el nuevo valor de la etiqueta de evento
contains: tiene la cadena en la nueva etiqueta de evento value
no contiene - no tiene la cadena en la nueva etiqueta de evento value

Debido a que es posible que se produzcan errores de configuración, cuando se puedan crear etiquetas de eventos similares para problemas no relacionados, revise los casos que se describen a continuación.

  • Las etiquetas y los valores de etiquetas reales solo se vuelven visibles cuando se activa un iniciador. Si la expresión regular utilizada no es válida, se reemplaza silenciosamente con una cadena *UNKNOWN*. Si no se encuentra el evento de problema inicial con un valor de etiqueta *UNKNOWN*, pueden aparecer eventos OK posteriores con el mismo valor de etiqueta *UNKNOWN* que pueden cerrar eventos de problemas que no deberían haberse cerrado.
  • Si un usuario usa la macro {ITEM.VALUE} sin funciones de macro como valor de etiqueta, se aplica la limitación de 255 caracteres. Cuando los mensajes de registro son largos y los primeros 255 caracteres no son específicos, esto también puede generar etiquetas de eventos similares para problemas no relacionados.

Ejemplo

Detener eventos de problemas repetitivos del mismo puerto de red.

Esta regla de correlación global correlacionará los problemas si los valores de las etiquetas host y port existen en el iniciador y son los mismos en el evento original y en el nuevo.

La operación cerrará los nuevos eventos de problemas en el mismo puerto de red, y mantendrá abierto solo el problema original.