Zabbix适合传统IT基础设施集中监控,Prometheus适配云原生微服务;二者告警策略需分别优化触发器表达式、动作频率与Alertmanager分组抑制;协同时可通过Webhook统一入口、标签对齐和annotation补充实现根因分析。
Zabbix 和 Prometheus 是 Linux 环境下最主流的两类监控报警系统,它们定位不同、适用场景各异。Zabbix 适合传统 IT 基础设施(如物理机、虚拟机、网络设备)的集中式监控,开箱即用;Prometheus 更适合云原生、微服务架构下的指标采集与告警,生态灵活但需一定配置成本。选型不在于“谁更好”,而在于“谁更匹配当前技术栈和运维习惯”。
Zabbix 告警策略:从触发到通知的关键配置
Zabbix 的告警流程是:监控项 → 触发器 → 动作(Action)→ 媒介(Media)→ 通知。其中最容易出错的是触发器表达式和动作条件设置。
-
触发器建议用相对阈值而非绝对值:比如 CPU 使用率连续 5 分钟 > 90% 不如 “过去 10 分钟平均使用率比前 1 小时均值高 40%” 更抗毛刺;可在表达式中用
{HOST.NAME}:/proc/cpuinfo.last(10m,avg) / {HOST.NAME}:/proc/cpuinfo.last(1h,avg) > 1.4实现(需配合自定义监控项) - 动作里要限制告警频率:在“操作条件”中启用“仅在以下条件下执行操作”,勾选“上次操作距今至少 X 分钟”,避免同一问题每分钟发 10 条邮件
-
媒介配置注意字符集与换行:使用脚本发送企业微信/钉钉时,Zabbix 传入的
{ALERT.MESSAGE}默认含 HTML 标签,需在脚本中用 sed 或 jq 清洗;邮件主题建议加[{TRIGGER.SEVERITY}] {HOST.NAME} {TRIGGER.NAME}方便收件人快速分类
Prometheus 告警策略:Alertmanager 的分组与抑制逻辑
Prometheus 本身只负责生成告警事件(通过 alert.rules),真正的路由、去重、静默、通知由 Alertmanager 完成。很多团队告警泛滥,问题常出在 Alertmanager 配置上。
-
分组(group_by)要按业务维度聚合:比如将同属一个 Kubernetes 命名空间、同一 Deployment 的 Pod CPU 过载告警合并为一条,避免单个 Deployment 扩容 10 个副本就触发 10 条重复告警;配置示例:
group_by: ['alertname', 'namespace', 'deployment'] -
抑制规则(inhibit_rules)必须双向覆盖:例如当某节点
node_down时,应抑制其上所有容器级告警;但若只写“node_down 抑制 container_cpu_usage”,却没写“node_disk_full 抑制 node_down”,就会漏掉磁盘满导致节点失联的根因判断 -
静默(silence)别只靠 Web UI 创建:生产环境建议用 API + 脚本管理静默,比如发布前自动创建 30 分钟静默,发布后自动删除;调用
POST /api/v2/silences时,matchers字段务必精确,["job=\"kubernetes-pods\"", "namespace=~\"prod.*\""]比["namespace=~\".*\""]更安全
Zabbix 与 Prometheus 协同实践:补短而非替代
真实环境中,两者常共存:Zabbix 管宿主机、中间件、SNMP 设备;Prometheus 管容器、API、自定义业务指标。关键是如何打通告警流,避免重复通知或信息割裂。
-
统一告警入口:用 Alertmanager 接收 Zabbix Webhook:Zabbix 7.0+ 支持原生 webhook;低版本可写 Python 脚本监听 Zabbix API 的 problem 事件,转换为 Alertmanager 兼容的 JSON 格式(含
labels和annotations)再 POST 过去 -
标签对齐是协同基础:Zabbix 发送的 webhook 中,把
host.ip映射为instance,host.name映射为job,这样 Prometheus 的node_exporter和 Zabbix 的主机监控就能在 Alertmanager 中按instance分组关联 -
根因分析靠 annotation 补充上下文:Zabbix 告警带上
"annotations": {"runbook_url": "https://wiki/internal/runbook/zabbix-disk-full"},Prometheus 告警带上"annotations": {"runbook_url": "https://wiki/internal/runbook/prom-k8s-pod-crashloop"},统一跳转到内部排障手册
不复杂但容易忽略
