Zabbix触发器表达式详解

概述:触发器中的表达式使用很灵活，我们可以创建一个复杂的逻辑测试监控，触发器表达式形式如下:

{<server>:<key>.<function>(<parameter>)}<operator><constant>

{主机：key.函数(参数)}<表达式>常数，具体的例子，请接着往下走，很简单

Functions函数:触发器functions可以引用检索到的值，当前时间或者其他元素。触发器表达式支持的function完整列表请点击官网地址 supported functions

Function参数----大多数数值functions可以使用秒来作为参数。你可以使用前缀“#”来表示它有不同的含义

FUNCTION CALL描述
sum(600)   600秒内的总和  
sum(#5)   最新5个值的和  

last函数使用不同的参数将会得到不同的值，#2表示倒数第二新的数据。例入从老到最新值为1,2,3,4,5,6,7,8,9,10，last(#2)得到的值为9，last(#9)得到的值为2。last函数必须包含参数。
AVG，count，last，min和max函数还支持额外的参数，以秒为单位的参数time_shift（时间偏移量）。例如avg(1h,1d)，那么将会获取到昨天的1小时内的平均数据。

[warning]备注：触发器表达式需要使用history历史数据来计算，如果history不可用（time_shift时间偏移量参数无法使用），因此history记录一定要保留长久一点，至少要保留需要用的记录。[/warning]
触发器表达式可以使用单位符号来替代大数字，例如5m替代300，或者1d替代86400,1k替代1024字节等等。

操作符 优先级操作定义
1   /   除  
2   *   乘  
3   -   减  
4   +   加  
5   <   小于. 用法如下:
A<B ⇔ (A<=B-0.000001)  
6   >   大于. 用法如下:
A>B ⇔ (A>=B+0.000001)  
7   #   不等于.用法如下:
A#B ⇔ (A<=B-0.000001) | (A>=B+0.000001)  
8   =   等于. T用法如下:
A=B ⇔ (A>B-0.000001) & (A<B+0.000001)  
9   &   逻辑与  
10   |   逻辑或  

触发器示例

示例---触发器名称：Processor load is too high on zabbix.com

{:system.cpu.load[all,avg1].last(0)}>5

触发器说明：

：host名称

system.cpu.load[all,avg1]：item值,一分内cpu平均负载值

last(0)：最新值

>5：最新值大于5

如上所示，这个主机的监控项，最新的CPU负载值如果大于5，那么表达式会返回true，这样一来触发器状态就改变为“problem”了。

示例二---触发器名称： is overloaded

{:system.cpu.load[all,avg1].last(0)}>5|{:system.cpu.load[all,avg1].min(10m)}>2

当前cpu负载大于5或者最近10分内的cpu负载大于2，那么表达式将会返回true.

示例三---触发器名称：/etc/passwd has been changed,使用函数 diff():

{:vfs.file.cksum[/etc/passwd].diff(0)}>0

/etc /passwd最新的checksum与上一次获取到的checksum不同，表达式将会返回true. 我们可以使用同样的方法监控系统重要的配置文件,例如/etc/passwd,/etc/inetd.conf等等。这些zabbix一般都会自带，没带 的你自己加上吧。

示例四----触发器名称：Someone is downloading a large file from the Internet,使用函数 min:

{:net.if.in[eth0,bytes].min(5m)}>100K

当前主机网卡eth0最后5分钟内接收到的流量超过100KB那么触发器表达式将会返回true

示例五---触发器名称：Both nodes of clustered SMTP server are down

{smtp1.zabbix.com:net.tcp.service[smtp].last(0)}=0&{smtp2.zabbix.com:net.tcp.service[smtp].last(0)}=0

当smtp1.zabbix.com和smtp2.zabbix.com两台主机上的SMTP服务器都离线，表达式将会返回true.

示例六---触发器名称：Zabbix agent needs to be upgraded，使用函数str():

{zabbix.zabbix.com:agent.version.str("beta8")}=1

如果当前zabbix agent版本包含beta8（假设当前版本为1.0beta8），这个表达式会返回true.

示例七---触发器名称：Server is unreachable

{zabbix.zabbix.com:icmpping.count(30m,0)}>5

如上表达式表示最近30分钟zabbix.zabbix.com这个主机超过5次不可到达。

示例八---触发器名称：No heartbeats within last 3 minutes，使用函数 nodata():

{zabbix.zabbix.com:tick.nodata(3m)}=1