Zabbix trigger是zabbix 進(jìn)行告警通知的設(shè)定條件 ，當(dāng)監(jiān)控獲取的值觸發(fā)了設(shè)定的條件時(shí)，會(huì)按照觸發(fā)器的設(shè)定，執(zhí)行相應(yīng)的action 操作 。在zabbix中為了比較方便的設(shè)定各種條件，zabbix為我們?cè)O(shè)計(jì)了相應(yīng)的函數(shù)和操作符 。

一、創(chuàng)建觸發(fā)器
觸發(fā)器可以是和模板關(guān)聯(lián)的，也可以是和主機(jī)關(guān)聯(lián)的。即在創(chuàng)建模板時(shí)，就設(shè)定好相應(yīng)的觸發(fā)器，和模板相關(guān)聯(lián)的主機(jī)同時(shí)也關(guān)聯(lián)了觸發(fā)器，一旦條件滿足就執(zhí)行相應(yīng)的操作（如告警），我們可以認(rèn)為他是全局性的；和主機(jī)關(guān)聯(lián)的觸發(fā)器是屬于局限性的觸發(fā)器，該觸發(fā)只針對(duì)特別設(shè)定的主機(jī)有效，對(duì)其他主機(jī)無效。

針對(duì)全局性觸發(fā)器和局限性觸發(fā)器的不同，所以其可以在configuration 下的hosts 里配置trigger ，也可以在 configuration 下的tmplates 里配置 trigger。

如上圖所示，通過設(shè)置名稱、條件、描述、告警級(jí)別等保存并啟用即可完成一個(gè)觸發(fā)器的新增。

二、觸發(fā)器表達(dá)式
觸發(fā)器的表達(dá)式即上面的expression里填寫的內(nèi)容，其格式為：

{<server>:<key>.<function>(<parameter>)}<operator><constant>
以上面的截圖為例，key為icmppingloss ，function函數(shù)是min ，parameter參數(shù)值為5分鐘 ，運(yùn)算符是大于 。

1、時(shí)間參數(shù)
zabbix 觸發(fā)條件里，很多是對(duì)單位時(shí)間內(nèi)的數(shù)字參數(shù)進(jìn)行表達(dá)式表達(dá)的，其中涉及到的常用時(shí)間單位如下：

s – seconds (when used, works the same as the raw value)
m – minutes
h – hours
d – days
w – weeks

2、運(yùn)算符
運(yùn)算符對(duì)應(yīng)表達(dá)式中的operator部分，可以使用的操作符有：

示例：

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5
#系統(tǒng)負(fù)載大于5

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5|{www.zabbix.com:system.cpu.load[all,avg1].min(10m)}>2

#cpu負(fù)載大于5或者最后10分鐘負(fù)載大于2的時(shí)候都會(huì)報(bào)警。

{www.zabbix.com:vfs.file.cksum[/etc/passwd].diff(0)}>0
#/etc/passwd文件改變會(huì)報(bào)警

{www.zabbix.com:net.if.in[eth0,bytes].min(5m)}>100K
#在最后5分鐘，網(wǎng)卡eth0的流量大于100K報(bào)警

{smtp1.zabbix.com:net.tcp.service[smtp].last(0)}=0&{smtp2.zabbix.com:net.tcp.service[smtp].last(0)}=0
#兩個(gè)節(jié)點(diǎn)上的smtp服務(wù)都宕機(jī)才會(huì)報(bào)警，該表達(dá)式用了兩個(gè)主機(jī)

{zabbix.zabbix.com:icmpping.count(30m,0)}>5
#在最后30分鐘主機(jī)不能ping通的次數(shù)大于5就報(bào)警

{server:system.cpu.load.avg(1h)}/{server:system.cpu.load.avg(1h,1d)}>2
({TRIGGER.VALUE}=0&{server:temp.last(0)}>20)|
({TRIGGER.VALUE}=1&{server:temp.last(0)}>15)

三、常見表達(dá)式函數(shù)

avg

參數(shù)：秒或#num
支持類型：float,int
作用：返回一段時(shí)間的平均值
舉例：

avg(5):最后5秒的平均值

avg(#5）：表示最近5次得到值的平均值

avg(3600,86400）：表示一天前的一個(gè)小時(shí)的平均值

如果僅有一個(gè)參數(shù)，表示指定時(shí)間的平均值，從現(xiàn)在開始算起，如果有第二個(gè)參數(shù)，表示漂移，從第二個(gè)參數(shù)前開始算時(shí)間，

#n表示最近n次的值

max

參數(shù):秒或#num

支持值類型:float,int

描述:返回指定時(shí)間間隔的最大值.時(shí)間間隔作為第一個(gè)參數(shù)可以是秒或收集值的數(shù)目(前綴為#).

min

參數(shù):秒或#num

支持值類型:float,int

描述:返回指定時(shí)間間隔的最小值.時(shí)間間隔作為第一個(gè)參數(shù)可以是秒或收集值的數(shù)目(前綴為#).

sum

參數(shù):秒或#num

支持值類型:float,int

描述:返回指定時(shí)間間隔中收集到的值的總和.時(shí)間間隔作為第一個(gè)參數(shù)支持秒或收集值的數(shù)目(以#開始).

count

參數(shù)：秒或#num
支持類型：float,int,str,text,log
作用：返回指定時(shí)間間隔內(nèi)數(shù)值的統(tǒng)計(jì)，
舉例：

count(600)最近10分鐘得到值的個(gè)數(shù)
count(600,12)最近10分鐘得到值的個(gè)數(shù)等于12
count(600,12,”gt”)最近10分鐘得到值的個(gè)數(shù)大于12
count(#10,12,”gt”)最近10個(gè)值中，值大于12的個(gè)數(shù)
count(600,12,”gt”,86400)24小時(shí)之前的10分鐘內(nèi)值大于12的個(gè)數(shù)
count(600,6/7,”band”) .在3個(gè)最低有效位中以二進(jìn)制形式存在的最后10分鐘的數(shù)值。
count(600,,,86400)24小時(shí)之前的10分鐘數(shù)據(jù)值的個(gè)數(shù)
第一個(gè)參數(shù)：指定時(shí)間段

第二個(gè)參數(shù)：樣本數(shù)據(jù)

第三個(gè)參數(shù)：操作參數(shù)

第四個(gè)參數(shù)：漂移參數(shù)

#支持的操作類型
eq: 相等
ne: 不相等
gt: 大于
ge: 大于等于
lt: 小于
le: 小于等于
like: 內(nèi)容匹配

diff

參數(shù):忽略
支持值類型:float,int,str,text,log
作用:返回值為1表示最近的值與之前的值不同，0為其他情況

last

參數(shù):秒或#num
支持值類型:float,int,str,text,log
作用:最近的值，如果為秒，則忽略，#num表示最近第N個(gè)值，請(qǐng)注意當(dāng)前的#num和其他一些函數(shù)的#num的意思是不同的
例子:

last(0)等價(jià)于last(#1)

last(#3)表示最近第3個(gè)值(并不是最近的三個(gè)值)本函數(shù)也支持第二個(gè)參數(shù)time_shift，例如last(0,86400)返回一天前的最近的值
如果在history中同一秒中有多個(gè)值存在，Zabbix不保證值的精確順序
#num從Zabbix1.6.2起開始支持,timeshift從1.8.2其開始支持,可以查詢avg()函數(shù)獲取它的使用方法

logsource

參數(shù):string

支持值類型:log

描述:檢查最近的日志條目是否匹配參數(shù)的日志來源.當(dāng)返回值為0時(shí)表示不匹配，1表示匹配。通常用于Windowseventlogs監(jiān)控.例如logsource[“VMWareServer”]

 time

參數(shù):忽略

支持值類型:any

描述:返回當(dāng)前時(shí)間，格式為HHMMSS，例如123055

date

參數(shù)：忽略
支持類型：any
作用：返回當(dāng)前的時(shí)間，格式Y(jié)YYYMMDD

dayofmonth

返回當(dāng)前是本月的第幾天

dayofweek

返回當(dāng)前是本周的第幾天

delta

參數(shù)：秒或#num
支持類型：float，int
作用：返回時(shí)間間隔內(nèi)的最大值與最小值的差值

nodata

參數(shù):秒

支持值類型:any

描述:當(dāng)返回值為1表示指定的間隔(間隔不應(yīng)小于30秒)沒有接收到數(shù)據(jù),0表示其他.

now

參數(shù):忽略

支持值類型:any

描述:返回距離Epoch(1970年1月1日00:00:00UTC)時(shí)間的秒數(shù)

概述
觸發(fā)器中的表達(dá)式使用很靈活，我們可以創(chuàng)建一個(gè)復(fù)雜的邏輯測(cè)試監(jiān)控，觸發(fā)器表達(dá)式形式如下:

{<server>:<key>.<function>(<parameter>)}<operator><constant>
{主機(jī)：key.函數(shù)(參數(shù))}<表達(dá)式>常數(shù)

Functions函數(shù)
觸發(fā)器functions可以引用檢索到的值，當(dāng)前時(shí)間或者其他元素。觸發(fā)器表達(dá)式支持的function完整列表請(qǐng)點(diǎn)擊官網(wǎng)地址 supported functions

Function參數(shù)
大多數(shù)數(shù)值functions可以使用秒來作為參數(shù)。你可以使用前綴“#”來表示它有不同的含義

FUNCTION CALL 描述
sum(600) 600秒內(nèi)的總和
sum(#5) 最新5個(gè)值的和

last函數(shù)使用不同的參數(shù)將會(huì)得到不同的值，#2表示倒數(shù)第二新的數(shù)據(jù)。例入從老到最新值為1,2,3,4,5,6,7,8,9,10，last(#2)得到的值為9，last(#9)得到的值為2。last函數(shù)必須包含參數(shù)。
AVG，count，last，min和max函數(shù)還支持額外的參數(shù)，以秒為單位的參數(shù)time_shift（時(shí)間偏移量）。例如avg(1h,1d)，那么將會(huì)獲取到昨天的1小時(shí)內(nèi)的平均數(shù)據(jù)。
注：觸發(fā)器表達(dá)式需要使用history歷史數(shù)據(jù)來計(jì)算，如果history不可用（time_shift時(shí)間偏移量參數(shù)無法使用），因此history記錄一定要保留長久一點(diǎn)，至少要保留需要用的記錄。
觸發(fā)器表達(dá)式可以使用單位符號(hào)來替代大數(shù)字，例如5m替代300，或者1d替代86400,1k替代1024字節(jié)等等。

操作符

 
觸發(fā)器示例
示例一
觸發(fā)器名稱：Processor load is too high on www.zabbix.com

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5

觸發(fā)器說明：
www.zabbix.com：host名稱
system.cpu.load[all,avg1]：item值,一分內(nèi)cpu平均負(fù)載值
last(0)：最新值
>5：最新值大于5
如上所示，www.zabbix.com這個(gè)主機(jī)的監(jiān)控項(xiàng)，最新的CPU負(fù)載值如果大于5，那么表達(dá)式會(huì)返回true，這樣一來觸發(fā)器狀態(tài)就改變?yōu)?ldquo;problem”了。

示例二
觸發(fā)器名稱：www.zabbix.com is overloaded

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5|{www.zabbix.com:system.cpu.load[all,avg1].min(10m)}>2
當(dāng)前cpu負(fù)載大于5或者最近10分內(nèi)的cpu負(fù)載大于2，那么表達(dá)式將會(huì)返回true.

示例三
觸發(fā)器名稱：/etc/passwd has been changed
使用函數(shù) diff():

{www.zabbix.com:vfs.file.cksum[/etc/passwd].diff(0)}>0

/etc/passwd最新的checksum與上一次獲取到的checksum不同，表達(dá)式將會(huì)返回true. 我們可以使用同樣的方法監(jiān)控系統(tǒng)重要的配置文件,例如/etc/passwd,/etc/inetd.conf等等。這些zabbix一般都會(huì)自帶，沒帶的你自己加上吧。

示例四
觸發(fā)器名稱：Someone is downloading a large file from the Internet
使用函數(shù) min:

{www.zabbix.com:net.if.in[eth0,bytes].min(5m)}>100K
當(dāng)前主機(jī)網(wǎng)卡eth0最后5分鐘內(nèi)接收到的流量超過100KB那么觸發(fā)器表達(dá)式將會(huì)返回true

示例五
觸發(fā)器名稱：Both nodes of clustered SMTP server are down

{smtp1.zabbix.com:net.tcp.service[smtp].last(0)}=0&{smtp2.zabbix.com:net.tcp.service[smtp].last(0)}=0

當(dāng)smtp1.zabbix.com和smtp2.zabbix.com兩臺(tái)主機(jī)上的SMTP服務(wù)器都離線，表達(dá)式將會(huì)返回true.

示例六
觸發(fā)器名稱：Zabbix agent needs to be upgraded
使用函數(shù)str():

{zabbix.zabbix.com:agent.version.str(“beta8”)}=1
如果當(dāng)前zabbix agent版本包含beta8（假設(shè)當(dāng)前版本為1.0beta8），這個(gè)表達(dá)式會(huì)返回true.

示例七
觸發(fā)器名稱：Server is unreachable

{zabbix.zabbix.com:icmpping.count(30m,0)}>5

如上表達(dá)式表示最近30分鐘zabbix.zabbix.com這個(gè)主機(jī)超過5次不可到達(dá)。

示例八
觸發(fā)器名稱：No heartbeats within last 3 minutes
使用函數(shù) nodata():

{zabbix.zabbix.com:tick.nodata(3m)}=1
tick為Zabbix trapper類型，首先我們要定義一個(gè)類型為Zabbix trapper，key為tick的item。我們使用zabbix_sender定期發(fā)送數(shù)據(jù)給tick，如果在3分鐘內(nèi)還未收到zabbix_sender發(fā)送來的數(shù)據(jù)，那么表達(dá)式返回一個(gè)true，與此同時(shí)觸發(fā)器的值變?yōu)?ldquo;PROBLEM”。

示例九
觸發(fā)器名稱：CPU activity at night time
使用函數(shù) time():

{zabbix:system.cpu.load[all,avg1].min(5m)}>2&{zabbix:system.cpu.load[all,avg1].time(0)}>000000&{zabbix:system.cpu.load[all,avg1].time(0)}<060000

只有在凌晨0點(diǎn)到6點(diǎn)整，最近5分鐘內(nèi)cpu負(fù)載大于2，表達(dá)式返回true，觸發(fā)器的狀態(tài)變更為“problem”

示例十
觸發(fā)器名稱：Check if client local time is in sync with Zabbix server time
使用函數(shù) fuzzytime():

{MySQL_DB:system.localtime.fuzzytime(10)}=0
主機(jī)MySQL_DB當(dāng)前服務(wù)器時(shí)間如果與zabbix server之間的時(shí)間相差10秒以上，表達(dá)式返回true，觸發(fā)器狀態(tài)改變?yōu)?ldquo;problem”

示例十一
觸發(fā)器名稱：Comparing average load today with average load of the same time yesterday (使用 time_shift 時(shí)間偏移量參數(shù)).

{server:system.cpu.load.avg(1h)}/{server:system.cpu.load.avg(1h,1d)}>2

This expression will fire if the average load of the last hour tops the average load of the same hour yesterday more than two times.
Hysteresis（遲滯,滯后）
簡單的說觸發(fā)器狀態(tài)轉(zhuǎn)變?yōu)閜roblem需要一個(gè)條件，從problem轉(zhuǎn)變回來還需要一個(gè)條件才行。一般觸發(fā)器只需要不滿足觸發(fā)器為problem條件即可恢復(fù)。明白了么？不明白就看例子吧。
有時(shí)候觸發(fā)器需要使用不同的條件來表示不同的狀態(tài)，舉個(gè)官網(wǎng)很有趣的例子：機(jī)房溫度正常穩(wěn)定為15-20°，當(dāng)溫度超過20°，觸發(fā)器值為problem，直到溫度低于15°才會(huì)接觸警報(bào)，異常會(huì)解除。

為了達(dá)到這個(gè)效果，我們需要使用如下觸發(fā)器表達(dá)式:

示例1
觸發(fā)器名稱：Temperature in server room is too high

({TRIGGER.VALUE}=0&{server:temp.last(0)}>20)|
({TRIGGER.VALUE}=1&{server:temp.last(0)}<15)
如上有兩個(gè)小括號(hào)，前面一個(gè)表示觸發(fā)異常的條件，后面一個(gè)表達(dá)式表示解除異常的條件。
注意：宏變量 {TRIGGER.VALUE}將會(huì)返回當(dāng)前觸發(fā)器的值

示例2
觸發(fā)器名稱：Free disk space is too low
Problem: 最近5分鐘剩余磁盤空間小于10GB。（異常）
Recovery: 最近10分鐘磁盤空間大于40GB。（恢復(fù)）
簡單說便是一旦剩余空間小于10G就觸發(fā)異常，然后接下來剩余空間必須大于40G才能解除這個(gè)異常，就算你剩余空間達(dá)到了39.9G（不在報(bào)警條件里）那也是沒用的

({TRIGGER.VALUE}=0&{server:vfs.fs.size[/,free].max(5m)}<10G)

({TRIGGER.VALUE}=1&{server:vfs.fs.size[/,free].min(10m)}<40G)

以上就是常用的觸發(fā)器的知識(shí)。