Table of Contents
2 Global event correlation
Overzicht
Globale gebeurtenis correlatie maakt het mogelijk om alle gemonitorde statistieken te bereiken door Zabbix en correlaties creëren.
Het is mogelijk om gebeurtenissen te correleren die zijn gemaakt door totaal verschillende triggers en dezelfde bewerkingen op ze allemaal toe te passen. Door het maken van intelligente correlatieregels is het echt mogelijk om jezelf te redden van duizenden herhaalde meldingen en te focussen op de hoofdoorzaken van een probleem!
Globale gebeurtenis correlatie is een krachtig mechanisme waarmee uzelf los maakt van de op één trigger gebaseerde probleem- en oplossingslogica. Dus tot nu toe werd een enkele probleemgebeurtenis gecreëerd door één trigger en we waren afhankelijk van diezelfde trigger voor de probleemoplossing. Wij konden niet een probleem dat door de ene trigger is veroorzaakt, met een andere trigger oplossen. Maar met gebeurtenis correlatie op basis van gebeurtenis tagging kunnen we dat wel.
Een log-trigger kan bijvoorbeeld toepassing problemen melden, terwijl een polling-trigger kan melden dat de toepassing actief is. Met het voordeel van event-tags kunt u de log-trigger taggen als Status: Down terwijl tag de polling-trigger als Status: Up. Dan, in een globale correlatieregel kunt u deze triggers relateren en een geschikte bewerking op deze correlatie uitvoeren, zoals het sluiten van de oude gebeurtenissen.
Bij een ander gebruik kan globale correlatie soortgelijke triggers identificeren en dezelfde bewerking op hen toepassen. Wat als we maar één probleem zouden kunnen krijgen? per netwerkpoort probleem rapporteren? U hoeft ze niet allemaal te melden. Dat is ook mogelijk met globale gebeurtenis correlatie.
Globale gebeurtenis correlatie wordt geconfigureerd in correlatieregels. EEN correlatieregel definieert hoe de nieuwe probleemgebeurtenissen worden gekoppeld aan bestaande probleemgebeurtenissen en wat te doen bij een match (sluit de nieuwe gebeurtenis, sluit overeenkomende oude gebeurtenissen af door overeenkomstige OK gebeurtenissen te genereren). Als een probleem wordt opgelost door globale correlatie, wordt dit gerapporteerd in de Info kolom van Monitoring → Problemen.
Het configureren van algemene correlatieregels is beschikbaar op het niveau van hoofdbeheerder alleen gebruikers.
Gebeurtenis correlatie moet zeer worden geconfigureerd zorgvuldig, omdat het de verwerkingsprestaties van gebeurtenissen negatief kan beïnvloeden of, indien verkeerd geconfigureerd, sluit meer gebeurtenissen dan was bedoeld (in het ergste geval zelfs alle probleemgebeurtenissen kunnen worden gesloten).
Volg het volgende om globale correlatie veilig te configureren: belangrijke tips:
- Verminder het correlatiebereik. Stel altijd een unieke tag in voor de nieuwe evenement dat is gekoppeld aan oude evenementen en gebruik de Nieuwe event tag correlatieconditie;
- Voeg een voorwaarde toe op basis van de oude gebeurtenis bij gebruik van de Close old event operatie (anders kunnen alle bestaande problemen worden gesloten);
- Vermijd het gebruik van algemene tagn amen die mogelijk door verschillende worden gebruikt correlatieconfiguraties;
- Houd het aantal correlatieregels beperkt tot degene die u echt nodig heeft.
Zie ook: bekend problemen.
Configuratie
Regels voor gebeurtenis correlatie globaal configureren:
- Ga naar Configuratie → Event correlatie
- Klik rechts op Creëer correlatie (of op de correlatie naam om een bestaande regel te bewerken)
- Voer parameters van de correlatieregel in het formulier in
Alle verplichte invoervelden zijn gemarkeerd met een rood sterretje.
| Parameter | Beschrijving |
|---|---|
| Name | Unieke naam voor correlatieregel. |
| Type berekening | De volgende opties voor het berekenen van voorwaarden zijn beschikbaar: En - aan alle voorwaarden moet zijn voldaan Of - genoeg als aan één voorwaarde is voldaan ** En/of** - EN met verschillende voorwaarde types en OF met hetzelfde voorwaardetype Aangepaste uitdrukking - een door de gebruiker gedefinieerde berekeningsformule voor het evalueren van actievoorwaarden. Het moet alle voorwaarden bevatten (weergegeven als hoofdletters A, B, C, ...) en mag spaties, tabs, haakjes ( ), en (hoofdlettergevoelig), of (hoofdlettergevoelig) bevatten , niet (hoofdlettergevoelig). |
| Voorwaarden | Lijst met voorwaarden. Zie hieronder voor details over het configureren van een voorwaarde. |
| Beschrijving | Beschrijving van correlatieregel. |
| Bewerkingen | Markeer het selectievakje van de bewerking die moet worden uitgevoerd wanneer de gebeurtenis is gecorreleerd. De volgende bewerkingen zijn beschikbaar: Sluit oude evenementen - sluit oude evenementen wanneer er een nieuwe gebeurtenis plaatsvindt. Voeg altijd een voorwaarde toe op basis van de oude gebeurtenis wanneer u de bewerking Sluit oude gebeurtenissen gebruikt, anders kunnen alle bestaande problemen worden gesloten. Nieuwe gebeurtenis sluiten - sluit de nieuwe gebeurtenis wanneer deze plaatsvindt |
| Ingeschakeld | Als u dit selectievakje aanvinkt, wordt de correlatieregel ingeschakeld. |
Om de details van een nieuwe voorwaarde te configureren, klikt u op 
in de Voorwaarden blok. Er wordt een pop-upvenster geopend waarin u de voorwaarde kunt bewerken details.
| Parameter | Beschrijving |
|---|---|
| Nieuwe voorwaarde | Selecteer een voorwaarde voor het correleren van gebeurtenissen. Opmerking dat als er geen oude gebeurtenisvoorwaarde is opgegeven, alle oude gebeurtenissen kunnen worden gekoppeld en gesloten. Evenzo, als er geen nieuwe gebeurtenisvoorwaarde is opgegeven, kunnen alle nieuwe gebeurtenissen worden gekoppeld en gesloten. De volgende voorwaarden zijn beschikbaar: Oude gebeurtenistag - specificeer de oude gebeurtenistag voor overeenkomsten. * *Nieuwe gebeurtenistag - geef de nieuwe gebeurtenistag op voor matching. Nieuwe gebeurtenishostgroep - specificeer de nieuwe gebeurtenishostgroep voor overeenkomsten. Eventtagpaar - specificeer nieuwe gebeurtenis tag en oude gebeurtenistag om te matchen. In dit geval is er een overeenkomst als de waarden van de tags in beide gebeurtenissen overeenkomen. Tag names hoeven niet overeen te komen. Deze optie is handig voor het matchen van runtime-waarden, die mogelijk niet bekend zijn op het moment van configuratie (zie ook Voorbeeld 1) . Oude gebeurtenistagwaarde - specificeer de oude gebeurtenistagnaam en waarde voor overeenkomsten, met behulp van de volgende operatoren: equals - heeft de oude gebeurtenistagwaarde is niet gelijk aan - heeft niet de oude gebeurtenistagwaarde bevat - heeft de tekenreeks in de oude gebeurtenistagwaarde bevat niet - heeft niet de tekenreeks in de oude gebeurtenistagwaarde Nieuwe gebeurtenistagwaarde** - geef de nieuwe gebeurtenistagnaam en -waarde op voor overeenkomsten, met behulp van de volgende operatoren: is gelijk aan - heeft de nieuwe gebeurtenistagwaarde is niet gelijk aan - heeft niet de nieuwe gebeurtenistagwaarde bevat - heeft de tekenreeks in de nieuwe gebeurtenistagwaarde bevat niet - heeft geen tekenreeks in de nieuwe gebeurtenistagwaarde |
::: let op Omdat verkeerde configuratie mogelijk is, wanneer vergelijkbaar gebeurtenistags kunnen worden gemaakt voor niet-gerelateerde problemen, bekijk a.u.b. de hieronder beschreven gevallen! :::
- Werkelijke tags en tagwaarden worden alleen zichtbaar wanneer een trigger wordt geactiveerd. Als de gebruikte reguliere expressie ongeldig is, wordt deze stil vervangen met een tekenreeks *UNBNOWN*. Als de eerste probleemgebeurtenis met een *UNKNOWN* tag-waarde is gemist, er kan een volgende OK verschijnen gebeurtenissen met dezelfde tagwaarde *UNKNOWN* die het probleem kunnen sluiten evenementen die ze niet hadden moeten sluiten.
- Als een gebruiker de {ITEM.VALUE}-macro gebruikt zonder macrofuncties als de tagwaarde, is de beperking van 255 tekens van toepassing. Wanneer logberichten zijn lang en de eerste 255 tekens zijn niet-specifiek, dit kan resulteren ook in vergelijkbare gebeurtenistags voor niet-gerelateerde problemen.
Voorbeeld 1
Stop herhaalde probleemgebeurtenissen vanaf dezelfde netwerkpoort.
Deze globale correlatieregel correleert problemen als Host en Poort-tagwaarden bestaan op de trigger en zijn hetzelfde in de originele gebeurtenis en de nieuwe.
De bewerking sluit nieuwe probleemgebeurtenissen op dezelfde netwerkpoort, alleen het oorspronkelijke probleem openhouden.