[comment]: # translation:outdated

[comment]: # ({10fa1e13-10fa1e13})
# 2 Глобальная корреляция событий

[comment]: # ({/10fa1e13-10fa1e13})

[comment]: # ({91cbc9c1-91cbc9c1})
#### Обзор

Глобальная корреляция событий позволят охватить все метрики наблюдаемые Zabbix и создавать корреляции.

Имеется возможность сопоставления событий, которые были созданы совершенно разными триггерами, и применения одних и тех же операций к ним ко всем. Созданием интеллектуальные правил корреляции можно обезопасить себя от тысяч повторяющихся оповещений и сфокусироваться на реальных причинах проблемы!

Глобальная корреляция событий - мощный механизм, который позволяет вам освободить себя от логики проблемы и решения основанных на одном триггере. До сих пор одно событие о проблеме создавалось одним триггером мы зависели от этого же триггера в плане решения проблемы. Мы не могли решить проблему, которая была создана одним триггером, при помощи другого триггера. Но с корреляцией событий на основе тегов событий, мы можем.

Например, триггер на журнал может сообщать о проблемах с приложением в то время как, триггер на основе опроса может сообщать, что приложение запущено и работает. Используя теги событий вы можете пометить триггер на журнал как *Состояние: Недоступен*, тогда как тегом триггера на основе опроса будет *Состояние: Доступен*. Затем, в глобальном правиле корреляции вы можете соотнести эти триггеры и назначить соответствующую операцию на такую корреляцию, такую как закрытие старых событий.

В другом случае глобальная корреляция может распознавать похожие триггеры и применять к ним ту же операцию. Что если мы можем получить только одно сообщение о проблемах по каждому сетевому порту? Не требуется сообщать по ним всем. Это также возможно при помощи глобальной корреляции событий.

Глобальная корреляция событий настраивается в **правилах корреляции**. Правило корреляции определяет каким образом новые события о проблемах соотносятся с существующими событиями о проблемах и что делать в случае совпадения (закрыть новое событие, закрыть старые события, сформировав соответствующие ОК события). Если проблема закрыта при помощи глобальной
корреляции, об этом сообщается в *Инфо* колонке в *Мониторинг* → *Проблемы*.

Настройка глобальных правил корреляции доступна пользователям только с Zabbix Супер Администратор уровнем.

::: noteimportant
Корреляцию событий необходимо настраивать очень осторожно, так как некорректная настройка может негативно сказаться на
производительности обработки событий или может привести к закрытию большего количества событий, чем предполагается (в худшем случае будут закрыты все события о проблемах).
:::

Для **безопасной** настройки глобальной корреляции обратите внимание на следующие важные советы:

-   Уменьшайте масштаб корреляции. Всегда указывайте новому событию уникальный тег, который соотносится со старыми событиями и используйте условие корреляции *Тег нового события*;
-   Добавляйте условие, которое основывается на старом событии, при использовании операции *Закрыть старое событие* (в противном случае все существующие проблемы могут быть закрыты);
-   Избегайте использования общих имен тегов, которые в итоге могут быть использованы разными настройками корреляций;
-   Ограничьте количество правил корреляции теми, которые вам действительно необходимы.

Смотрите также: [известные проблемы](/manual/installation/known_issues#глобальная_корреляция_событий).

[comment]: # ({/91cbc9c1-91cbc9c1})

[comment]: # ({9114daca-4d55e723})
#### Настройка

Для настройки глобальных правил корреляции событий:

-   Перейдите в *Настройка* → *Корреляция событий*
-   Нажмите на *Создать корреляцию* справа (или на имя корреляции, чтобы изменить уже имеющееся правило)
-   В диалоге введите параметры правила корреляции

![correlation\_rule.png](../../../../assets/en/manual/config/event_correlation/correlation_rule.png){width="600"}

Все обязательные поля ввода отмечены красной звёздочкой.

|Параметр|Описание|
|--|--------|
|*Имя*|Уникальное имя правила корреляции.|
|*Тип вычисления*|Для вычисления условий доступны следующие опции:<br>**И** - должны быть выполнены все условия<br>**Или** - достаточно выполнения одного условия<br>**И/Или** - И с разными типами условий и ИЛИ с одинаковым типом условий<br>**Пользовательское выражение** - формула вычисления, введенная пользователем, для оценки условий действия. Она должна включать в себя все условия (представленные в виде прописных букв A, B, C, …) и может включать пробелы, символы табуляции, скобки ( ), **and** (с учетом регистра), **or** (с учетом регистра), **not** (регистрозависимое).|
|*Условия*|Список условий. Смотрите ниже для получения более подробных сведений по настройке условий.|
|*Описание*|Описание правила корреляции.|
|*Новая операция*|Выберите выполняемую операцию при успешной корреляции события. Доступны следующие операции:<br>**Закрыть старые события** - закрыть старые события при появлении нового события. Всегда добавляйте условие на основе старого события при использовании *Закрыть старые события* операции или будут закрыты все существующие проблемы.<br>**Закрыть новое событие** - закрыть новое событие при его появлении|
|*Активировано*|Если вы выберите этот параметр, правило корреляции будет активировано.|

Чтобы настроить детали нового условия, нажмите на ![](../../../../assets/en/manual/config/add_link.png) в блоке Условия. Откроется всплывающее окно, где вы сможете отредактировать детали условия.

![](../../../../assets/en/manual/config/event_correlation/correlation_rule_condition.png)

|Параметр|Описание|
|--|--------|
|*Новое условие*|Выберите условия для корреляции событий.<br>*Обратите внимание*, если условие на старое событие не указано,  все старые события могут быть сопоставлены и затем закрыты. Точно так же, если условие на новое событие не указано, все новые события могут быть сопоставлены и затем закрыты.<br>Доступны следующие условия:<br>**Тег старого события** - тег старого события для поиска совпадения<br>**Тег нового события** - тег нового события для поиска совпадения<br>**Группа узлов сети нового события** - группа узлов сети нового события для поиска совпадения<br>**Пара тегов событий** - новый тег событий и старый тег событий для поиска совпадений. В этом случае будет совпадение, если совпадают **значения** тегов в обоих событиях. *Имена* тегов не должны совпадать.<br>Эта опция может быть полезна для сопоставления значений в реальном времени, которые могут быть неизвестны в процессе настройки (смотрите также [Пример 1](/manual/config/event_correlation/global#примеры))<br>**Значение тега старого события** - имя и значение тега старого события для поиска совпадения с использованием следующих операторов:<br>*равно* - имеет значение тега старого события<br>*не равно* - не имеет значение тега старого события<br>*содержит* - имеет соответствующую строку в значении тега старого события<br>*не содержит* - не имеет соответствующую строку в значении тега старого события<br>**Значение тега нового события** - имя и значение тега нового события для поиска совпадения с использованием следующих операторов:<br>*равно* - имеет значение тега нового события<br>*не равно* - не имеет значение тега нового события<br>*содержит* - имеет соответствующую строку в значении тега нового события<br>*не содержит* - не имеет соответствующую строку в значении тега нового события|

::: notewarning
Посколько возможна некорректная настройка, когда аналогичные теги событий могут быть созданы по **не связанным** проблемам, пожалуйста, ознакомьтесь со случаями, которые описаны ниже!
:::

-   Фактически теги и значения тегов становятся видны только при сработке триггера. Если используемое регулярное выражение ошибочно, оно автоматически заменится на строку \*НЕИЗВЕСТНО\*. Если изначальное событие о проблеме с \*НЕИЗВЕСТНО\* пропущено, могут появиться последующие события OK с таким же значением тега \*НЕИЗВЕСТНО\*, которые могут закрыть события о проблеме, которые они не должны были бы закрывать.

```{=html}
<!-- -->
```
-   Если пользователь значением тега использует {ITEM.VALUE} макрос без функций макросов, тогда будет применяться ограничение по длине строки в 255 символов. Когда в журнале имеются длинные сообщения и первые 255 символов не конкретизируют проблему, может привести к одинаковым тегам событий по не связанным проблемам.

[comment]: # ({/9114daca-4d55e723})

[comment]: # ({a40a40bd-c1c16a0f})
##### Пример 1

Остановка повторяющихся событий о проблемах с одного и того же сетевого порта.

![](../../../../assets/en/manual/config/event_correlation/correlation_example.png)

Такое глобальное правило корреляции сопоставит проблемы, если у триггера существуют *Узел сети* и *Порт* значения тегов и они такие же как у оригинального события, так и у нового события.

Эта операция закроет все события о проблемах по этому же самому сетевому порту, оставив открытой только изначальную проблему.

[comment]: # ({/a40a40bd-c1c16a0f})