Zabbix trigger是zabbix 進行告警通知的設(shè)定條件 ，當監(jiān)控獲取的值觸發(fā)了設(shè)定的條件時，會按照觸發(fā)器的設(shè)定，執(zhí)行相應(yīng)的action 操作 。在zabbix中為了比較方便的設(shè)定各種條件，zabbix為我們設(shè)計了相應(yīng)的函數(shù)和操作符 。

一、創(chuàng)建觸發(fā)器
觸發(fā)器可以是和模板關(guān)聯(lián)的，也可以是和主機關(guān)聯(lián)的。即在創(chuàng)建模板時，就設(shè)定好相應(yīng)的觸發(fā)器，和模板相關(guān)聯(lián)的主機同時也關(guān)聯(lián)了觸發(fā)器，一旦條件滿足就執(zhí)行相應(yīng)的操作（如告警），我們可以認為他是全局性的；和主機關(guān)聯(lián)的觸發(fā)器是屬于局限性的觸發(fā)器，該觸發(fā)只針對特別設(shè)定的主機有效，對其他主機無效。

針對全局性觸發(fā)器和局限性觸發(fā)器的不同，所以其可以在configuration 下的hosts 里配置trigger ，也可以在 configuration 下的tmplates 里配置 trigger。

如上圖所示，通過設(shè)置名稱、條件、描述、告警級別等保存并啟用即可完成一個觸發(fā)器的新增。

二、觸發(fā)器表達式
觸發(fā)器的表達式即上面的expression里填寫的內(nèi)容，其格式為：

{<server>:<key>.<function>(<parameter>)}<operator><constant>
以上面的截圖為例，key為icmppingloss ，function函數(shù)是min ，parameter參數(shù)值為5分鐘 ，運算符是大于 。

1、時間參數(shù)
zabbix 觸發(fā)條件里，很多是對單位時間內(nèi)的數(shù)字參數(shù)進行表達式表達的，其中涉及到的常用時間單位如下：

s – seconds (when used, works the same as the raw value)
m – minutes
h – hours
d – days
w – weeks

2、運算符
運算符對應(yīng)表達式中的operator部分，可以使用的操作符有：

示例：

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5
#系統(tǒng)負載大于5

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5|{www.zabbix.com:system.cpu.load[all,avg1].min(10m)}>2

#cpu負載大于5或者最后10分鐘負載大于2的時候都會報警。

{www.zabbix.com:vfs.file.cksum[/etc/passwd].diff(0)}>0
#/etc/passwd文件改變會報警

{www.zabbix.com:net.if.in[eth0,bytes].min(5m)}>100K
#在最后5分鐘，網(wǎng)卡eth0的流量大于100K報警

{smtp1.zabbix.com:net.tcp.service[smtp].last(0)}=0&{smtp2.zabbix.com:net.tcp.service[smtp].last(0)}=0
#兩個節(jié)點上的smtp服務(wù)都宕機才會報警，該表達式用了兩個主機

{zabbix.zabbix.com:icmpping.count(30m,0)}>5
#在最后30分鐘主機不能ping通的次數(shù)大于5就報警

{server:system.cpu.load.avg(1h)}/{server:system.cpu.load.avg(1h,1d)}>2
({TRIGGER.VALUE}=0&{server:temp.last(0)}>20)|
({TRIGGER.VALUE}=1&{server:temp.last(0)}>15)

三、常見表達式函數(shù)

avg

參數(shù)：秒或#num
支持類型：float,int
作用：返回一段時間的平均值
舉例：

avg(5):最后5秒的平均值

avg(#5）：表示最近5次得到值的平均值

avg(3600,86400）：表示一天前的一個小時的平均值

如果僅有一個參數(shù)，表示指定時間的平均值，從現(xiàn)在開始算起，如果有第二個參數(shù)，表示漂移，從第二個參數(shù)前開始算時間，

#n表示最近n次的值

max

參數(shù):秒或#num

支持值類型:float,int

描述:返回指定時間間隔的最大值.時間間隔作為第一個參數(shù)可以是秒或收集值的數(shù)目(前綴為#).

min

參數(shù):秒或#num

支持值類型:float,int

描述:返回指定時間間隔的最小值.時間間隔作為第一個參數(shù)可以是秒或收集值的數(shù)目(前綴為#).

sum

參數(shù):秒或#num

支持值類型:float,int

描述:返回指定時間間隔中收集到的值的總和.時間間隔作為第一個參數(shù)支持秒或收集值的數(shù)目(以#開始).

count

參數(shù)：秒或#num
支持類型：float,int,str,text,log
作用：返回指定時間間隔內(nèi)數(shù)值的統(tǒng)計，
舉例：

count(600)最近10分鐘得到值的個數(shù)
count(600,12)最近10分鐘得到值的個數(shù)等于12
count(600,12,”gt”)最近10分鐘得到值的個數(shù)大于12
count(#10,12,”gt”)最近10個值中，值大于12的個數(shù)
count(600,12,”gt”,86400)24小時之前的10分鐘內(nèi)值大于12的個數(shù)
count(600,6/7,”band”) .在3個最低有效位中以二進制形式存在的最后10分鐘的數(shù)值。
count(600,,,86400)24小時之前的10分鐘數(shù)據(jù)值的個數(shù)
第一個參數(shù)：指定時間段

第二個參數(shù)：樣本數(shù)據(jù)

第三個參數(shù)：操作參數(shù)

第四個參數(shù)：漂移參數(shù)

#支持的操作類型
eq: 相等
ne: 不相等
gt: 大于
ge: 大于等于
lt: 小于
le: 小于等于
like: 內(nèi)容匹配

diff

參數(shù):忽略
支持值類型:float,int,str,text,log
作用:返回值為1表示最近的值與之前的值不同，0為其他情況

last

參數(shù):秒或#num
支持值類型:float,int,str,text,log
作用:最近的值，如果為秒，則忽略，#num表示最近第N個值，請注意當前的#num和其他一些函數(shù)的#num的意思是不同的
例子:

last(0)等價于last(#1)

last(#3)表示最近第3個值(并不是最近的三個值)本函數(shù)也支持第二個參數(shù)time_shift，例如last(0,86400)返回一天前的最近的值
如果在history中同一秒中有多個值存在，Zabbix不保證值的精確順序
#num從Zabbix1.6.2起開始支持,timeshift從1.8.2其開始支持,可以查詢avg()函數(shù)獲取它的使用方法

logsource

參數(shù):string

支持值類型:log

描述:檢查最近的日志條目是否匹配參數(shù)的日志來源.當返回值為0時表示不匹配，1表示匹配。通常用于Windowseventlogs監(jiān)控.例如logsource[“VMWareServer”]

 time

參數(shù):忽略

支持值類型:any

描述:返回當前時間，格式為HHMMSS，例如123055

date

參數(shù)：忽略
支持類型：any
作用：返回當前的時間，格式Y(jié)YYYMMDD

dayofmonth

返回當前是本月的第幾天

dayofweek

返回當前是本周的第幾天

delta

參數(shù)：秒或#num
支持類型：float，int
作用：返回時間間隔內(nèi)的最大值與最小值的差值

nodata

參數(shù):秒

支持值類型:any

描述:當返回值為1表示指定的間隔(間隔不應(yīng)小于30秒)沒有接收到數(shù)據(jù),0表示其他.

now

參數(shù):忽略

支持值類型:any

描述:返回距離Epoch(1970年1月1日00:00:00UTC)時間的秒數(shù)

概述
觸發(fā)器中的表達式使用很靈活，我們可以創(chuàng)建一個復雜的邏輯測試監(jiān)控，觸發(fā)器表達式形式如下:

{<server>:<key>.<function>(<parameter>)}<operator><constant>
{主機：key.函數(shù)(參數(shù))}<表達式>常數(shù)

Functions函數(shù)
觸發(fā)器functions可以引用檢索到的值，當前時間或者其他元素。觸發(fā)器表達式支持的function完整列表請點擊官網(wǎng)地址 supported functions

Function參數(shù)
大多數(shù)數(shù)值functions可以使用秒來作為參數(shù)。你可以使用前綴“#”來表示它有不同的含義

FUNCTION CALL 描述
sum(600) 600秒內(nèi)的總和
sum(#5) 最新5個值的和

last函數(shù)使用不同的參數(shù)將會得到不同的值，#2表示倒數(shù)第二新的數(shù)據(jù)。例入從老到最新值為1,2,3,4,5,6,7,8,9,10，last(#2)得到的值為9，last(#9)得到的值為2。last函數(shù)必須包含參數(shù)。
AVG，count，last，min和max函數(shù)還支持額外的參數(shù)，以秒為單位的參數(shù)time_shift（時間偏移量）。例如avg(1h,1d)，那么將會獲取到昨天的1小時內(nèi)的平均數(shù)據(jù)。
注：觸發(fā)器表達式需要使用history歷史數(shù)據(jù)來計算，如果history不可用（time_shift時間偏移量參數(shù)無法使用），因此history記錄一定要保留長久一點，至少要保留需要用的記錄。
觸發(fā)器表達式可以使用單位符號來替代大數(shù)字，例如5m替代300，或者1d替代86400,1k替代1024字節(jié)等等。

操作符

 
觸發(fā)器示例
示例一
觸發(fā)器名稱：Processor load is too high on www.zabbix.com

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5

觸發(fā)器說明：
www.zabbix.com：host名稱
system.cpu.load[all,avg1]：item值,一分內(nèi)cpu平均負載值
last(0)：最新值
>5：最新值大于5
如上所示，www.zabbix.com這個主機的監(jiān)控項，最新的CPU負載值如果大于5，那么表達式會返回true，這樣一來觸發(fā)器狀態(tài)就改變?yōu)?ldquo;problem”了。

示例二
觸發(fā)器名稱：www.zabbix.com is overloaded

{www.zabbix.com:system.cpu.load[all,avg1].last(0)}>5|{www.zabbix.com:system.cpu.load[all,avg1].min(10m)}>2
當前cpu負載大于5或者最近10分內(nèi)的cpu負載大于2，那么表達式將會返回true.

示例三
觸發(fā)器名稱：/etc/passwd has been changed
使用函數(shù) diff():

{www.zabbix.com:vfs.file.cksum[/etc/passwd].diff(0)}>0

/etc/passwd最新的checksum與上一次獲取到的checksum不同，表達式將會返回true. 我們可以使用同樣的方法監(jiān)控系統(tǒng)重要的配置文件,例如/etc/passwd,/etc/inetd.conf等等。這些zabbix一般都會自帶，沒帶的你自己加上吧。

示例四
觸發(fā)器名稱：Someone is downloading a large file from the Internet
使用函數(shù) min:

{www.zabbix.com:net.if.in[eth0,bytes].min(5m)}>100K
當前主機網(wǎng)卡eth0最后5分鐘內(nèi)接收到的流量超過100KB那么觸發(fā)器表達式將會返回true

示例五
觸發(fā)器名稱：Both nodes of clustered SMTP server are down

{smtp1.zabbix.com:net.tcp.service[smtp].last(0)}=0&{smtp2.zabbix.com:net.tcp.service[smtp].last(0)}=0

當smtp1.zabbix.com和smtp2.zabbix.com兩臺主機上的SMTP服務(wù)器都離線，表達式將會返回true.

示例六
觸發(fā)器名稱：Zabbix agent needs to be upgraded
使用函數(shù)str():

{zabbix.zabbix.com:agent.version.str(“beta8”)}=1
如果當前zabbix agent版本包含beta8（假設(shè)當前版本為1.0beta8），這個表達式會返回true.

示例七
觸發(fā)器名稱：Server is unreachable

{zabbix.zabbix.com:icmpping.count(30m,0)}>5

如上表達式表示最近30分鐘zabbix.zabbix.com這個主機超過5次不可到達。

示例八
觸發(fā)器名稱：No heartbeats within last 3 minutes
使用函數(shù) nodata():

{zabbix.zabbix.com:tick.nodata(3m)}=1
tick為Zabbix trapper類型，首先我們要定義一個類型為Zabbix trapper，key為tick的item。我們使用zabbix_sender定期發(fā)送數(shù)據(jù)給tick，如果在3分鐘內(nèi)還未收到zabbix_sender發(fā)送來的數(shù)據(jù)，那么表達式返回一個true，與此同時觸發(fā)器的值變?yōu)?ldquo;PROBLEM”。

示例九
觸發(fā)器名稱：CPU activity at night time
使用函數(shù) time():

{zabbix:system.cpu.load[all,avg1].min(5m)}>2&{zabbix:system.cpu.load[all,avg1].time(0)}>000000&{zabbix:system.cpu.load[all,avg1].time(0)}<060000

只有在凌晨0點到6點整，最近5分鐘內(nèi)cpu負載大于2，表達式返回true，觸發(fā)器的狀態(tài)變更為“problem”

示例十
觸發(fā)器名稱：Check if client local time is in sync with Zabbix server time
使用函數(shù) fuzzytime():

{MySQL_DB:system.localtime.fuzzytime(10)}=0
主機MySQL_DB當前服務(wù)器時間如果與zabbix server之間的時間相差10秒以上，表達式返回true，觸發(fā)器狀態(tài)改變?yōu)?ldquo;problem”

示例十一
觸發(fā)器名稱：Comparing average load today with average load of the same time yesterday (使用 time_shift 時間偏移量參數(shù)).

{server:system.cpu.load.avg(1h)}/{server:system.cpu.load.avg(1h,1d)}>2

This expression will fire if the average load of the last hour tops the average load of the same hour yesterday more than two times.
Hysteresis（遲滯,滯后）
簡單的說觸發(fā)器狀態(tài)轉(zhuǎn)變?yōu)閜roblem需要一個條件，從problem轉(zhuǎn)變回來還需要一個條件才行。一般觸發(fā)器只需要不滿足觸發(fā)器為problem條件即可恢復。明白了么？不明白就看例子吧。
有時候觸發(fā)器需要使用不同的條件來表示不同的狀態(tài)，舉個官網(wǎng)很有趣的例子：機房溫度正常穩(wěn)定為15-20°，當溫度超過20°，觸發(fā)器值為problem，直到溫度低于15°才會接觸警報，異常會解除。

為了達到這個效果，我們需要使用如下觸發(fā)器表達式:

示例1
觸發(fā)器名稱：Temperature in server room is too high

({TRIGGER.VALUE}=0&{server:temp.last(0)}>20)|
({TRIGGER.VALUE}=1&{server:temp.last(0)}<15)
如上有兩個小括號，前面一個表示觸發(fā)異常的條件，后面一個表達式表示解除異常的條件。
注意：宏變量 {TRIGGER.VALUE}將會返回當前觸發(fā)器的值

示例2
觸發(fā)器名稱：Free disk space is too low
Problem: 最近5分鐘剩余磁盤空間小于10GB。（異常）
Recovery: 最近10分鐘磁盤空間大于40GB。（恢復）
簡單說便是一旦剩余空間小于10G就觸發(fā)異常，然后接下來剩余空間必須大于40G才能解除這個異常，就算你剩余空間達到了39.9G（不在報警條件里）那也是沒用的

({TRIGGER.VALUE}=0&{server:vfs.fs.size[/,free].max(5m)}<10G)

({TRIGGER.VALUE}=1&{server:vfs.fs.size[/,free].min(10m)}<40G)

以上就是常用的觸發(fā)器的知識。