ログ監視ができません
ログ監視ができません。アドバイスをお願い致します。
■やりたいこと
-------------------
・/var/log/secureに"failure"という文字列が出力された場合に、
障害を検知したい。
-------------------
[環境]
----------------
監視対象OS & zabbix server : Cent OS 5.4
zabbix agent : 1.8.10
/var/log/secureの所有者とパーミッションは777に変更しました。
----------------
[アイテムの設定]
----------------
ホスト :re Cent-OS on VMware
タイプ :Zabbixエージェント)アクティブ)
キー :log[/var/log/secure,,UTF-8,]
データ型:ログ
アプリケーション:General
----------------
[トリガーの設定]
----------------
名前:ログ監視(Zabbix server)
条件式:{re Cent-OS on VMware:log[/var/log/secure,,UTF-8,].str)failure}=1)
イベント生成:ノーマル
深刻度:重度の障害
----------------
■事象
上記のトリガーの設定を保存しようとすると以下のようなエラー画面が出ます
-------------------------------------------------------------
エラー: トリガーを更新できません
Incorrect closing parenthesis in trigger expression.
Check expression part starting from " r)failure}=1 "
---------------------------------------------------------------
tthogho1 - 投稿数: 112
単に入力ミス?
str)failure → str(failure)
TNK - 投稿数: 4671
Webフロントエンドで設定されたホストの名前
re Cent-OS on VMware
と、その対象のサーバ上のzabbix_agentd.conf内のHostnameに設定
された値が大文字小文字も含め合致しているかを再確認してくださ
い。
あとは、そのエージェントが動いているサーバから、Zabbixサーバ
に対して、デフォルトであればポート番号10051で接続できるかを
確認してください。
他の問題である場合は、エージェント側のzabbix_agentd.logや、
サーバ側のzabbix_server.logに何かログが出力されていないかを
ご確認ください。
tthogho1さんへ
恐らく、masa0701さんは正しく括弧を入力されたと思います。
他の方の投稿でも同様の症状を見かけていますので、投稿時のフィ
ルタリングの問題で誤った記号の置換が行われてしまっているのか
もしれません。
本サイトの設定の再確認を担当者にお願いしてみます。
masa0701 - 投稿数: 18
tthogho1さま
TNKさま
ご回答ありがとうございます。
tthogho1 の御指摘の通りに修正したところ、トリガー設定に関してエラーが出ることはなくなりました。
ログ監視に関する質問をいくつか探していて、それをコピペしてました。
もしかするとTNKさまが御指摘された誤った置換をそのまま流用したことが問題かもしれません。
しかし、トリガー設定はうまくいきましたが、肝心のログがあがってきません。
SSHで監視対象サーバへのログインの失敗を何度か行いました。
何かアドバイスをいただけますと幸いです。
TNK - 投稿数: 4671
zabbix_agentd.confに設定されたHostnameの確認は、していただきましたか?
zabbix_agentd.logやzabbix_server.logには何も出力されていませんか?
また、添付して頂いたトリガーの画面の右側のエラーの欄が赤い×印になって
いるようですが、ここにマウスのカーソルを持って行った時にどんなメッセージ
が表示されるかをお教え下さい。
あと、今回も貼って頂いた画像の文字ははっきり読めませんでした。
より解像度の高い画像を添付して頂くか、入力された文字をそのままご提示くだ
さい。
masa0701 - 投稿数: 18
TNKさま
返信が遅くなり申し訳ありません。
agentおよびserverともに関係するようなログは見当たりませんでした。
赤い×印にカーソルをあわせると
「Zabbix was restarted」と表示されます。
入力した文字はアイテムについては始めの質問文の通りです。
トリガーについてはtthogho1さまの御指摘の通り、条件式として以下の通り修正しました。
{re Cent-OS on VMware:log[/var/log/secure,,UTF-8,].str(failure)}=1
何か他に調べるべき内容がございましたらご教示いただけますと幸いです。
TNK - 投稿数: 4671
もう一度、重要な点をご確認いただけたか回答を頂けていませんの
で、書かせていただきます。
zabbix_agentd.confに設定されたHostnameの確認は、していただき
ましたか?
該当する監視対象のサーバの、
/etc/zabbix/zabbix_agentd.conf
内のHostnameに
Hostname=re Cent-OS on VMware
というように設定されているかを再度ご確認ください。
masa0701 - 投稿数: 18
TNKさま
返信ありがとうございます。
回答漏れがあり申し訳ありません。
zabbix_agentd.confのホスト名は以下のように記述されてあります。
Hostname=localhost.localdomain
しかし、他のトリガーにで取得している性能情報等の機器情報については取得できています。
ログ監視の場合はzabbix_agentd.confのホスト名とトリガーのホスト名の一致が
必要となるのでしょうか?
(ホストの設定の際にIPアドレスを指定しているのでホストの名前(いわゆるホスト名とは認識しておりませんでした)
は無関係だと思っておりました)
TNK - 投稿数: 4671
これでは、Zabbixエージェント(アクティブ)で監視を行うログ監視が
できません。
他のZabbixエージェントのアイテムは取得できるので設定し忘れ
がちですが、ログ監視には必須です。
設定してZabbixエージェントを再起動してみてください。
masa0701 - 投稿数: 18
TNKさま
返信ありがとうございます。
zabbix_agentd.confとWebフロントエンドのホスト名をあわせました。
agentの再起動も行っています。
また、監視対象サーバのhostsファイルおよび、etc/sysconfig/networkファイルのホスト名も変更してネットワークの再起動および、
念のため直接hostnameコマンドでホスト名を変更しています。
今までのホスト名はスペースがあっため、全て「VMCentOS01」で統一しました。
しかし、状況はまったく変わりません。
エージェント側のzabbix_agentd.log、サーバ側のzabbix_server.logについてもそれらしいログははかれていません。
kodai - 投稿数: 1341
監視対象がUTF-8のログファイルでしたらエンコードの指定はしなくても大丈夫なので、
log[/var/log/secure]
とだけ指定してみるとどうなるでしょうか?
> エージェント側のzabbix_agentd.log、サーバ側のzabbix_server.logについてもそれらしいログははかれていません。
Sending list of active checks to [XX.XX.XX.XX] failed:
のようにアクティブチェックに関するログはzabbix_server.log、zabbix_agentd.logどちらにも出ていないでしょうか?もしくは、zabbix_agentd.logにエラーログなどは出ていないでしょうか?
あと、特に問題というわけではないのですが、念のため下記もご説明しておきます。
> zabbix_agentd.confとWebフロントエンドのホスト名をあわせました。
大文字/小文字も含めて同じになっているでしょうか?
> また、監視対象サーバのhostsファイルおよび、etc/sysconfig/networkファイルのホスト名も変更してネットワークの再起動および、
この作業はなくても大丈夫です。ZabbixのWebインターフェースのホスト名と、zabbix_agentd.confのHostname設定が合っていれば大丈夫です。
> 今までのホスト名はスペースがあっため、全て「VMCentOS01」で統一しました。
Zabbixのホスト名設定はスペースがあっても問題なく動作します。
masa0701 - 投稿数: 18
kodai さま
回答が遅くなり申し訳ありません。
>log[/var/log/secure]とだけ指定してみるとどうなるでしょうか?
指定しなおしましたが変化はありません。
>アクティブチェックに関するログはzabbix_server.log、zabbix_agentd.logどちらにも出ていないでしょうか?
>もしくは、zabbix_agentd.logにエラーログなどは出ていないでしょうか?
agentは全くログを吐いていません。
serverそれらしいログは吐いていないと思います。意味の分からないログは以下のものだけでした。
3029:20120801:220251.009 housekeeper deleted: 16000 records from history and trends, 0 records of deleted items, 0 events, 0 alerts, 0 sessions
3029:20120801:230256.682 executing housekeeper
>大文字/小文字も含めて同じになっているでしょうか?
同じになっています。(コピペなので)
その他アドバイスをいただけますと助かります。
kodai - 投稿数: 1341
> agentは全くログを吐いていません。
アクティブチェック以外の監視はできているとのことなので、おそらく全く出ていないというのは起動停止のログを除き、ということだと思うのですが、その認識であっているでしょうか?
zabbix_agentd.confのDisableActiveが1に設定されている、ということはないでしょうか?
また、データが取得できてないというのはどの画面で確認されているでしょう?アイテムで収集された生データは[監視データ] -> [最新データ]から、各アイテムの行の「グラフ」もしくは「ヒストリ」をクリックして表示できるのですが、この画面で何も表示されていないという認識で合っているでしょうか?
masa0701 - 投稿数: 18
kodaiさま
返信ありがとうございます。
>全く出ていないというのは起動停止のログを除き、ということだと思うのですが、その認識であっているでしょうか?
ご認識の通りです。
>zabbix_agentd.confのDisableActiveが1に設定されている、
本パラーメタについては#でコメントアウトされています。
何か設定が必要でしょうか?
>この画面で何も表示されていないという認識で合っているでしょうか?
ご認識の通りです。
ヒストリの値欄には下記の文がひたすら入っているのみです。
Accessible only as active check!
TNK - 投稿数: 4671
ログ監視用のアイテムのタイプに「Zabbixエージェント(アクティブ)」
ではなく「Zabbixエージェント」を指定しているとそうなりますが、
以前、設定情報をご提示頂いたときには、アクティブを選択されていた
かと思います。
再度、アイテムの設定をご確認ください。
masa0701 - 投稿数: 18
TNKさま
ご連絡が遅れて申し訳ありません。
アイテムの設定を確認しましたが、アクティブを選択してあります。