logrtのログ監視で同じ行に対して複数回のアラートが発生することが有る
zabbix-1.8.13-1.JPを使用しています。
zabbix-1.8から追加されたlogrtでログの監視をしています。
以下のような設定を行っているのですが、
まれに、ログの同一行に対してアラートのメールが再送されています。
アイテム
タイプ:Zabbixエージェント(アクティブ)
キー:logrt["/path/to/apps/.*\.log", "\[emerg|\[alert|\[crit|\[err"]
データ型:ログ
トリガー
条件式:(({hostname:logrt["/path/to/apps/.*\.log", "\[emerg|\[alert|\[crit|\[err"].regexp(.)})#0)
イベント生成:ノーマル+障害イベントを継続して生成
実際の監視対象:以下の様に3ファイル有ります。
/path/to/apps/pc.log
/path/to/apps/smortphone.log
/path/to/apps/mobile.log
再送がされるタイミングは不定で、数分後から数時間後の場合もあります。
アラートメール内のログ内容を確認すると、
ログ内容が同一である為、過去の行でアラートが上がっています。
(ログ内に時刻も含まれているため、間違い無くコカ分です。)
気になる点としては、メールが再送されている直前に、
(監視対象外の)warningのログが出力されていることです。
但し、warningのログが出力されている時に必ず再送されるわけでもありません。
warningのログの内容は、アイテムの監視対象外であることを確認済みです。
もし情報が有りましたら、御教示下さい。
kodai - 投稿数: 1341
logrt{}キーはログローテーションに対応したキーですので、複数の異なるログを監視することはできません。
おそらく、pc.log、smartphone.log、mobile.logが個別に更新された際にログローテーションが発生したと認識されて、再度同じログを読みにいく状態が発生しているのだと思います。それぞれのログを個別にアイテムに登録して監視を行ってください。
logおよびlogrtキーの動作についてはこちらもご参考ください。
http://kodai74.blogspot.jp/2012/02/zabbixloglogrt.html
hooguri - 投稿数: 2
御回答有難うございます。
logrtの監視を、対象ファイルごとに別に設定してみます。
とても参考になりました。