Zabbix Trigger表达式实例

Zabbix提供强大的触发器(Trigger)函数以方便进行更为灵活的报警及后续动作，具体触发器函数可以访问https://www.zabbix.com/documentation/2.0/manual/appendix/triggers/functions, 之前也有翻译本文章，地址为: http://pengyao.org/zabbix-triggers-functions.html

今天用实例来说明常见的监控需求，应该如何来编写Trigger表达式. 主人公就暂且叫做"绿肥"吧.

前奏

"绿肥，别整天就知道聊QQ，也关注下服务器运行情况吧." 老大颇不满意的说.

"哦"，绿肥只好先应承下来

“关注服务器? 咋关注？” 绞尽脑汁，听说有个监控神器叫zabbix, 按照手册里边说的部署上了zabbix、将"test-01"服务器也安装了agent, 添加了"agent.ping" item用来测试agent是否可以连通； "system.uptime" item用来收集主机运行时间; “system.cpu.util[,idle]” item用来收集CPU空闲百分比.

收集完这些值，通过simple graph能看到运行状况，老大似乎很满意. 但接下来的一天, 主机不知道什么时候重启了，老大劈头盖脸的说“机器重启了都不知道？要这个监控有什么用？”

看来是时候学习下zabbix trigger了，看下什么情况下触发报警.

Zabbix Trigger实例

"得，还是先学习下怎么判断机器是否重启了吧"，绿肥喃喃的说

system.uptime映入眼帘，这个item是采集主机运行时间的,一直累加的计数器，如果当前采集值小于上一次的采集值，那就意味着机器重启了

怎么判断当前值小于上一次哪？ 查询手册发现change函数, 看来对应的Trigger表达式是:

{test-01:system.uptime.change(0)}<0

表达式加上后，配合上默认的Action规则，手动重启了下服务器，真的告警的耶，绿肥愉快的笑了起来.

直到又一天的到来......

这天机器重启了，因为硬盘故障, 结果系统没起来, 直到老大发现......

"哎，又挨了一通训", 不过的确是工作不到位，系统没启动都不知道，这工作做得真叫一个差

"怎么搞"，agent.ping映入了眼帘，看来得拿它"出出气"了，ping不通都不告诉我，哼，不整治你整治谁

"系统没起来，也就意味着zabbix agent没启动起来，没启动起来，那就是说我大zabbix server根本取不到agent的数据，那么该用哪个函数那?", "nodata"，对，就是它，写出来的表达式是这样的:

{test-01:agent.ping.nodata(3m)}=1

三分钟取不到agent.ping的值，那也就是说agent宕了或者服务器挂了，不错，不错.

直到又一天的到来......

"什么情况，怎么网站打开这么慢？" 老大在那里嘟囔着

趁机看了下CPU使用率，我擦，已经持续一小时CPU 100%满负荷运行了，看来隔壁研发小妹又写了个死循环,不过我是不是得增加个CPU的报警?

说干就干，既然是CPU有问题，那就从CPU下手，之前增加过"system.cpu.util[,idle]"的item,这次就写个trigger, 写出来的trigger是这个样子:

{test-01:system.cpu.util[,idle].last(0)}<20

也就是说如果cpu空闲小于20%即CPU占用超过80%立即触发报警，嘿嘿，看来不错

一天过去了，邮箱里增加了几百封关于"CPU使用率超过80%的邮件"，查询一看，CPU使用率总是冒个尖就马上就下来了,看来它把这里当城门了，这里用last(0)有点不靠谱，那么该用哪个函数哪？ 还得好好翻翻手册.

"最近几分钟，最近几分钟，最近几分钟"，绿肥若有所思的自言自语着......

{test-01:system.cpu.util[,idle].avg(3m)}<20

连续三分钟CPU使用率平均值超过80%触发报警, 有没有更狠一点的，三分钟CPU使用率持续在80%以上触发报警

{test-01:system.cpu.util[,idle].max(3m)}<20

连续三分钟CPU空闲率中的最大值小于20%即每一个值都小于20%，对应的是就是CPU使用率全部都在80%以上，看来这个的确更狠一点.

似乎还有点不妥，发现CPU占用率在79.9%左右竟然也给我报OK，不爽，不爽, 看来需求得调整为"连续三分钟CPU使用率超过80%触发报警，如果连续三分钟CPU使用率低于50%才认为恢复正常"

手册里边有个"TRIGGER.VALUE"宏，看来得从这里下下手.

TRIGGER.VALUE对应的为Trigger状态，0代表OK, 1代表Problem，分解下需求:

• 正常情况下连续三分钟CPU使用率超过80%，看起来表达式是:

  {TRIGGER.VALUE}=0&{test-01:system.cpu.util[,idle].max(3m)}<20
  

• 故障时连续三分钟CPU使用率低于50%恢复正常，即故障时刻CPU使用率持续三分钟高于50%依然为故障，表达式是这个样子的:

  {TRIGGER.VALUE}=1&{test-01:system.cpu.util[,idle].min(3m)}<50
  

然后整合下表达式，就成了下边这个样子:

({TRIGGER.VALUE}=0&{test-01:system.cpu.util[,idle].max(3m)}<20) | ({TRIGGER.VALUE}=1&{test-01:system.cpu.util[,idle].min(3m)}<50)

不错，不错，看起来多高端，颇有成就感!