문서

2 전역 이벤트 상관관계

개요

전역 이벤트 상관관계를 통해 Zabbix에서 모니터링하는 모든 메트릭에 접근하여 상관관계를 생성할 수 있습니다.

완전히 다른 트리거로 생성된 이벤트들을 상관관계로 연결하고 모든 이벤트에 동일한 작업을 적용할 수 있습니다. 지능적인 상관관계 규칙을 생성하면 실제로 수천 개의 반복적인 알림으로부터 벗어나 문제의 근본 원인에 집중할 수 있습니다!

전역 이벤트 상관관계는 강력한 메커니즘으로, 단일 트리거 기반 문제 및 해결 로직에서 벗어날 수 있게 해줍니다. 지금까지는 단일 문제 이벤트가 하나의 트리거에 의해 생성되었고, 문제 해결을 위해 동일한 트리거에 의존했습니다. 한 트리거에서 생성된 문제를 다른 트리거로 해결할 수 없었습니다. 하지만 이벤트 태깅을 기반으로 한 이벤트 상관관계를 통해 이제 가능합니다.

예를 들어, 로그 트리거는 애플리케이션 문제를 보고할 수 있고, 폴링 트리거는 애플리케이션이 정상 작동 중이라고 보고할 수 있습니다. 이벤트 태그를 활용하여 로그 트리거를 status:down으로 태그하고 폴링 트리거를 status:up으로 태그할 수 있습니다. 그런 다음, 전역 상관관계 규칙에서 이러한 트리거들을 연결하고 이 상관관계에 대한 적절한 작업(예: 이전 이벤트 닫기)을 지정할 수 있습니다.

다른 용도로는, 전역 상관관계가 유사한 트리거를 식별하고 동일한 작업을 적용할 수 있습니다. 네트워크 포트 문제당 하나의 문제 보고서만 받을 수 있다면 어떨까요? 모든 것을 보고할 필요가 없습니다. 이것도 전역 이벤트 상관관계로 가능합니다.

전역 이벤트 상관관계는 상관관계 규칙에서 구성됩니다. 상관관계 규칙은 새로운 문제 이벤트가 기존 문제 이벤트와 어떻게 연결되는지, 그리고 일치하는 경우 무엇을 할지(새 이벤트 닫기, 해당 OK 이벤트를 생성하여 일치하는 이전 이벤트 닫기)를 정의합니다. 전역 상관관계로 문제가 닫히면 모니터링 > 문제의 정보 열에 보고됩니다.

전역 상관관계 규칙 구성은 Super Admin 레벨 사용자만 사용할 수 있습니다.

이벤트 상관관계는 이벤트 처리 성능에 부정적인 영향을 미칠 수 있거나, 잘못 구성된 경우 의도한 것보다 더 많은 이벤트를 닫을 수 있으므로(최악의 경우 모든 문제 이벤트가 닫힐 수 있음) 매우 신중하게 구성해야 합니다.

전역 상관관계를 안전하게 구성하려면 다음 중요한 팁을 따르세요:

상관관계 범위를 줄이세요. 항상 이전 이벤트와 연결되는 새 이벤트에 대해 고유한 태그를 설정하고 새 이벤트 태그 이름 상관관계 조건을 사용하세요.
이전 이벤트 닫기를 사용할 때 명시적인 이전 이벤트 조건을 추가하세요. 이전 이벤트 닫기를 선택할 때는 항상 최소 하나의 이전 이벤트 조건(예: 이전 이벤트 태그 이름, 이전 이벤트 태그 값, 또는 이벤트 태그 쌍)을 추가하세요. 그렇지 않으면 규칙이 관련 없는 기존 문제 이벤트와 일치하여 닫을 수 있습니다(최악의 경우 모든 문제). 런타임 값(host:port, session id 등) 일치에는 이벤트 태그 쌍을 선호하고, 가능한 경우 호스트 또는 호스트 그룹으로 일치를 더욱 좁히세요.
서로 다른 상관관계 구성에서 사용될 수 있는 일반적인 태그 이름 사용을 피하세요.
상관관계 규칙의 수를 실제로 필요한 것으로 제한하세요.

참조: 알려진 이슈.

구성

이벤트 상관관계 규칙을 전역적으로 구성하려면:

데이터 수집 > 이벤트 상관관계로 이동
오른쪽의 이벤트 상관관계 생성을 클릭(또는 기존 규칙을 편집하려면 상관관계 이름을 클릭)
양식에 상관관계 규칙의 매개변수를 입력

$correlation\_rule.png$

모든 필수 입력 필드는 빨간 별표로 표시됩니다.

매개변수	설명
이름	고유한 상관관계 규칙 이름.
계산 유형	다음 조건 계산 옵션을 사용할 수 있습니다: And - 모든 조건이 충족되어야 함 Or - 하나의 조건만 충족되면 충분 And/Or - 다른 조건 유형과는 AND, 동일한 조건 유형과는 OR 사용자 정의 표현식 - 액션 조건 평가를 위한 사용자 정의 계산 공식. 모든 조건(대문자 A, B, C, ...로 표현)을 포함해야 하며 공백, 탭, 괄호 ( ), and(대소문자 구분), or(대소문자 구분), not(대소문자 구분)을 포함할 수 있습니다.
조건	조건 목록. 조건 구성에 대한 자세한 내용은 아래를 참조하세요.
설명	상관관계 규칙 설명.
작업	이벤트가 상관관계에 있을 때 수행할 작업의 체크박스를 표시합니다. 다음 작업을 사용할 수 있습니다: 이전 이벤트 닫기 - 새 이벤트가 발생할 때 이전 이벤트를 닫습니다. 이전 이벤트 닫기 작업을 사용할 때는 항상 이전 이벤트를 기반으로 한 조건을 추가하세요. 그렇지 않으면 모든 기존 문제가 닫힐 수 있습니다. 새 이벤트 닫기 - 새 이벤트가 발생할 때 닫습니다. 경고! 이전 이벤트 닫기/새 이벤트 닫기를 사용할 때 이전/새 이벤트 조건을 비워 두지 마세요.적절한 이전 이벤트와 일치하는 조건을 추가하지 않고 이전 이벤트 닫기 작업을 선택하면, Zabbix가 모든 기존 이전 이벤트와 일치하여 닫을 수 있습니다.이전 이벤트 닫기를 사용할 때는 항상 명시적인 이전 이벤트 조건(예: 이전 이벤트 태그 이름 또는 이벤트 태그 쌍)을 추가하세요. 예를 들어, 새 이벤트 조건만 사용하고 이전 이벤트 닫기 작업을 사용하는 규칙은 (누락된) 이전 이벤트 기준을 충족하는 모든 이전 이벤트와 일치합니다 - 실제로는 이전 문제들을 닫습니다.
활성화됨	이 체크박스를 표시하면 상관관계 규칙이 활성화됩니다.

새 조건의 세부 사항을 구성하려면 조건 블록에서 를 클릭하세요. 조건 세부 사항을 편집할 수 있는 팝업 창이 열립니다.

매개변수	설명
새 조건	이벤트 상관관계를 위한 조건을 선택합니다. 이전 이벤트 조건이 지정되지 않으면 모든 이전 이벤트가 일치하여 닫힐 수 있다는 점에 주의하세요. 마찬가지로 새 이벤트 조건이 지정되지 않으면 모든 새 이벤트가 일치하여 닫힐 수 있습니다. 다음 조건을 사용할 수 있습니다: 이전 이벤트 태그 이름 - 일치를 위한 이전 이벤트 태그 이름을 지정합니다. 새 이벤트 태그 이름 - 일치를 위한 새 이벤트 태그 이름을 지정합니다. 새 이벤트 호스트 그룹 - 일치를 위한 새 이벤트 호스트 그룹을 지정합니다. 이벤트 태그 쌍 - 일치를 위한 새 이벤트 태그 이름과 이전 이벤트 태그 이름을 지정합니다. 이 경우 두 이벤트의 태그 값이 일치하면 일치합니다. 태그 이름은 일치할 필요가 없습니다. 이 옵션은 구성 시점에 알 수 없는 런타임 값을 일치시키는 데 유용합니다(예제 참조). 이전 이벤트 태그 값 - 다음 연산자를 사용하여 일치를 위한 이전 이벤트 태그 이름과 값을 지정합니다: 같음 - 이전 이벤트 태그 값을 가짐 같지 않음 - 이전 이벤트 태그 값을 가지지 않음 포함 - 이전 이벤트 태그 값에 문자열을 가짐 포함하지 않음 - 이전 이벤트 태그 값에 문자열을 가지지 않음 새 이벤트 태그 값 - 다음 연산자를 사용하여 일치를 위한 새 이벤트 태그 이름과 값을 지정합니다: 같음 - 새 이벤트 태그 값을 가짐 같지 않음 - 새 이벤트 태그 값을 가지지 않음 포함 - 새 이벤트 태그 값에 문자열을 가짐 포함하지 않음 - 새 이벤트 태그 값에 문자열을 가지지 않음

매개변수

설명

새 조건

이벤트 상관관계를 위한 조건을 선택합니다.
이전 이벤트 조건이 지정되지 않으면 모든 이전 이벤트가 일치하여 닫힐 수 있다는 점에 주의하세요. 마찬가지로 새 이벤트 조건이 지정되지 않으면 모든 새 이벤트가 일치하여 닫힐 수 있습니다.
다음 조건을 사용할 수 있습니다:
이전 이벤트 태그 이름 - 일치를 위한 이전 이벤트 태그 이름을 지정합니다.
새 이벤트 태그 이름 - 일치를 위한 새 이벤트 태그 이름을 지정합니다.
새 이벤트 호스트 그룹 - 일치를 위한 새 이벤트 호스트 그룹을 지정합니다.
이벤트 태그 쌍 - 일치를 위한 새 이벤트 태그 이름과 이전 이벤트 태그 이름을 지정합니다. 이 경우 두 이벤트의 태그 값이 일치하면 일치합니다. 태그 이름은 일치할 필요가 없습니다.
이 옵션은 구성 시점에 알 수 없는 런타임 값을 일치시키는 데 유용합니다(예제 참조).
이전 이벤트 태그 값 - 다음 연산자를 사용하여 일치를 위한 이전 이벤트 태그 이름과 값을 지정합니다:
같음 - 이전 이벤트 태그 값을 가짐
같지 않음 - 이전 이벤트 태그 값을 가지지 않음
포함 - 이전 이벤트 태그 값에 문자열을 가짐
포함하지 않음 - 이전 이벤트 태그 값에 문자열을 가지지 않음
새 이벤트 태그 값 - 다음 연산자를 사용하여 일치를 위한 새 이벤트 태그 이름과 값을 지정합니다:
같음 - 새 이벤트 태그 값을 가짐
같지 않음 - 새 이벤트 태그 값을 가지지 않음
포함 - 새 이벤트 태그 값에 문자열을 가짐
포함하지 않음 - 새 이벤트 태그 값에 문자열을 가지지 않음

잘못된 구성이 가능하며, 관련 없는 문제에 대해 유사한 이벤트 태그가 생성될 수 있으므로 아래 설명된 경우들을 검토해 주세요!

실제 태그와 태그 값은 트리거가 발동할 때만 보입니다. 사용된 정규 표현식이 유효하지 않으면 조용히 *UNKNOWN* 문자열로 대체됩니다. *UNKNOWN* 태그 값을 가진 초기 문제 이벤트가 놓치면, 닫아서는 안 되는 문제 이벤트를 닫을 수 있는 동일한 *UNKNOWN* 태그 값을 가진 후속 OK 이벤트가 나타날 수 있습니다.
사용자가 매크로 함수 없이 {ITEM.VALUE} 매크로를 태그 값으로 사용하면 255자 제한이 적용됩니다. 로그 메시지가 길고 처음 255자가 비특정적일 때, 이것도 관련 없는 문제에 대해 유사한 이벤트 태그를 만들 수 있습니다.

예제

동일한 네트워크 포트에서 반복되는 문제 이벤트를 중지합니다.

이 전역 상관관계 규칙은 트리거에 host와 port 태그 값이 존재하고 원본 이벤트와 새 이벤트에서 동일한 경우 문제를 상관관계로 연결합니다.

작업은 동일한 네트워크 포트의 새로운 문제 이벤트를 닫고, 원본 문제만 열린 상태로 유지합니다.