zabbix触发器表达式

zabbix触发器表达式

触发器使用逻辑表达式来评估通过item获取的数据是处于哪种状态，

触发器中的表达式使用很灵活，我们可以创建一个复杂的逻辑测试监控，触发器表达式形式如下:

{<server>:<key>.<function>(<parameter>)}<operator><constant>

{主机：key.函数(参数)}常数

Functions函数

触发器functions完整链接:

Function参数

FUNCTION CALL	描述
sum(600)	600秒内的总和
sum(#5)	最新5个值的和

last函数使用不同的参数将会得到不同的值，#2表示倒数第二新的数据。例如从老到最新值为1,2,3,4,5,6,7,8,9,10，last(#2)得到的值为9，last(#9)得到的值为2。last()就是倒数第一个值。

AVG，count，last，min和max函数还支持额外的参数，以秒为单位的参数time_shift（时间偏移量）。例如avg(1h,1d)，那么将会获取到昨天的1小时内的平均数据。

[warning]备注：触发器表达式需要使用history历史数据来计算，如果history不可用（time_shift时间偏移量参数无法使用），因此history记录一定要保留长久一点，至少要保留需要用的记录。[/warning]
触发器表达式可以使用单位符号来替代大数字，例如5m替代300，或者1d替代86400,1k替代1024字节等等。

操作符

3.2及以上版本

PRIORITY	OPERATOR	DEFINITION	Notes for unknown values
1	-	Unary minus	-Unknown → Unknown
2	not	Logical NOT	not Unknown → Unknown
3	*****	Multiplication	0 ***** Unknown → Unknown (yes, Unknown, not 0 - to not lose Unknown in arithmetic operations) 1.2 ***** Unknown → Unknown
	/	Division	Unknown / 0 → error Unknown / 1.2 → Unknown 0.0 / Unknown → Unknown
4	+	Arithmetical plus	1.2 + Unknown → Unknown
	-	Arithmetical minus	1.2 - Unknown → Unknown
5	<	Less than. The operator is defined as: A<B ⇔ (A<B-0.000001) since Zabbix 3.4.9 A<B ⇔ (A≤B-0.000001) before Zabbix 3.4.9	1.2 < Unknown → Unknown
	<=	Less than or equal to. The operator is defined as: A<=B ⇔ (A≤B+0.000001) since Zabbix 3.4.9 A<=B ⇔ (A<B+0.000001) before Zabbix 3.4.9	Unknown <= Unknown → Unknown
	>	More than. The operator is defined as: A>B ⇔ (A>B+0.000001) since Zabbix 3.4.9 A>B ⇔ (A≥B+0.000001) before Zabbix 3.4.9
	>=	More than or equal to. The operator is defined as: A>=B ⇔ (A≥B-0.000001) since Zabbix 3.4.9 A>=B ⇔ (A>B-0.000001) before Zabbix 3.4.9
6	=	Is equal. The operator is defined as: A=B ⇔ (A≥B-0.000001) and (A≤B+0.000001) since Zabbix 3.4.9 A=B ⇔ (A>B-0.000001) and (A<B+0.000001) before Zabbix 3.4.9
	<>	Not equal. The operator is defined as: A<>B ⇔ (A<B-0.000001) or (A>B+0.000001) since Zabbix 3.4.9 A<>B ⇔ (A≤B-0.000001) or (A≥B+0.000001) before Zabbix 3.4.9
7	and	Logical AND	0 and Unknown → 0 1 and Unknown → Unknown Unknown and Unknown → Unknown
8	or	Logical OR	1 or Unknown → 1 0 or Unknown → Unknown Unknown or Unknown → Unknown

3.0及其以下版本

优先级	操作	定义
1	/	除
2	*	乘
3	-	减
4	+	加
5	<	小于. 用法如下: A<B ⇔ (A<=B-0.000001)
6	>	大于. 用法如下: A>B ⇔ (A>=B+0.000001)
7	#	不等于.用法如下: A#B ⇔ (A<=B-0.000001) | (A>=B+0.000001)
8	=	等于. 用法如下: A=B ⇔ (A>B-0.000001) & (A<B+0.000001)
9	&	逻辑与
10	|	逻辑或

触发器示例

示例一

触发器名称： Processor load is too high on www.zabbix.com

表达式：

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5

说明：

www.zabbix.com       host名称
system.cpu.load[all,avg1]        item值，一分钟内的cpu平均负载值
last(o)     最新值
>5      大于5

如上所示，www.zabbix.com这个主机的监控项，最新的CPU负载值如果大于5，那么表达式会返回true，这样一来触发器状态就改变为“problem”了。

示例二

触发器名称：www.zabbix.com is overloaded

表达式：

 {www.zabbix.com:system.cpy.load[all,avg1].last(0)}>5|{www.zabbix.com:system.cpu.load[all,avg1].last(10m)}>2

当前cpu负载大于5或者最近10分内的cpu负载大于2，那么表达式将会返回true。

示例三

触发器名称：/etc/passwd has been changed

表达式:

{www.zabbix.com:vfs.file.cksum[/etc/passwd].diff(0)}>0

/etc/passwd最新的checksum与上一次获取到的checksum不同，表达式将会返回true. 我们可以使用同样的方法监控系统重要的配置文件,例如/etc/passwd,/etc/inetd.conf等等

示例四

触发器名称：Someone is downloading a large file from the Internet

表达式：

{www.zabbix.com:net.if.in[eth0,bytes].min(5m)}>100k

当前主机网卡eth0最后5分钟内接收到的流量超过100KB那么触发器表达式将会返回true

示例五

触发器名称：Both nodes of clustered SMTP server are down

表达式：

{smtp1.zabbix.com:net.tcp.service[smtp].last(0)}=0&{smtp2.zabbix.com:net.tcp.service[smtp].last(0)}=0

当smtp1.zabbix.com和smtp2.zabbix.com两台主机上的SMTP服务器都离线，表达式将会返回true.

示例六

触发器名称：Zabbix agent needs to be upgraded

表达式：

{zabbix.zabbix.com:agent.version.str("beta8")}=1

如果当前zabbix agent版本包含beta8（假设当前版本为1.0beta8），这个表达式会返回true.

示例七

触发器名称：Server is unreachable

表达式：

{zabbix.zabbix.com:icmpping.count(30m,0)}>5

最近30分钟zabbix.zabbix.com这个主机超过5次不可达。

示例八

触发器名称：No heartbeats within last 3 minutes

表达式：

{zabbix.zabbix.com:tick.nodata(3m)}=1

tick为Zabbix trapper类型，首先我们要定义一个类型为Zabbix trapper，key为tick的item。我们使用zabbix_sender定期发送数据给tick，如果在3分钟内还未收到zabbix_sender发送来的数据，那么表达式返回一个true，与此同时触发器的值变为“PROBLEM”。

示例九

触发器名称：CPU activity at night time

表达式：

{zabbix:system.cpu.load[all,avg1].min(5m)}>2&{zabbix:system.cpu.load[all,avg1].time(0)}>000000&{zabbix:system.cpu.load[all,avg1].time(0)}<060000

只有在凌晨0点到6点整，最近5分钟内cpu负载大于2，表达式返回true，触发器的状态变更为“problem”

示例十

触发器名称：Check if client local time is in sync with Zabbix server time

表达式：

{MySQL_DB:system.localtime.fuzzytime(10)}=0

主机MySQL_DB当前服务器时间如果与zabbix server之间的时间相差10秒以上，表达式返回true，触发器状态改变为“problem”

示例十一

触发器名称：Comparing average load today with average load of the same time yesterday (使用 time_shift 时间偏移量参数).

表达式：

{server:system.cpu.load.avg(1h)}/{server:system.cpu.load.avg(1h,1d)}>2

一小时内平均值超过昨天同一时刻的两倍十触发告警

Hysteresis（迟滞,滞后）

简单的说触发器状态转变为problem需要一个条件，从problem转变回来还需要一个条件才行。一般触发器只需要不满足触发器为problem条件即可恢复。

有时候触发器需要使用不同的条件来表示不同的状态，举个官网很有趣的例子：机房温度正常稳定为15-20°，当温度超过20°，触发器值为problem，直到温度低于15°才会接触警报，异常会解除。

在zabbix3.2及其以上版本配置触发器时就可以设置Problem expression和Recovery expression

示例一

触发器名称：Temperature in server room is too high

表达式

({TRIGGER.VALUE}=0&{server:temp.last()}>20)|({TRIGGER.VALUE}=1&{server:temp.last()}>15)

如上有两个小括号，前面一个表示触发异常的条件，后面一个表达式的反面表示解除异常的条件。

示例二

触发器名称：Free disk space is too low

Problem: 最近5分钟剩余磁盘空间小于10GB。（异常）

Recovery: 最近10分钟剩余磁盘空间大于40GB。（恢复）

简单说便是一旦剩余空间小于10G就触发异常，然后接下来剩余空间必须大于40G才能解除这个异常，就算你剩余空间达到了39G（不在报警条件里）那也是没用的。

表达式：

({TRIGGER.VALUE}=0&{server.vfs.fs.size[/,free].max(5m)}<10G)|({TRIGGER.VALUE}=1&{server:vfs.fs.size[/,free].min(10m)}<40G)

示例三

触发器名称：接口[{#PORT}]入口带宽占用率过高

表达式：

({TRIGGER.VALUE}=0 and {7750_ip_route:port_bandwidth_in_ratio[{#PORT}].last()}>75) or ({TRIGGER.VALUE}=1 and {7750_ip_route:port_bandwidth_in_ratio[{#PORT}].max(3600)}>60)

监控项原型如下：

名称	键值	间隔	历史记录	趋势	类型	应用集	状态
	[接口{#PORT}]入口带宽占用率	port_bandwidth_in_ratio[{#PORT}]	5m	7d	90d	Service Robot采集器	ML_APPLICATION, 接口带宽占用率	已启用

告警条件：入口带宽占用率(>75%)
恢复条件：一个小时入口带宽占用率(<60%)

参考：

http://www.ttlsa.com/zabbix/zabbix-trigger-expression/

https://www.zabbix.com/documentation/3.4/manual/config/triggers