Windows のシステムログ監視で、OS 再起動後に再度ログを拾ってしまう
Zabbix 2.0.4 で、Windows Server 2008 R2 のシステムイベントログを監視しております。
アイテム名:Eventlog_System_Error
アイテムのキー:eventlog[System,,Error,,,,]
トリガー式:({hostname:eventlog[System,,Error,,,,].logseverity()}=4|({TRIGGER.VALUE}=1)&({hostname:eventlog[System,,Error,,,,].str(dummy-str)}=0))
上記のホストを
1) メンテナンス状態にして
2) OS の再起動を行い
3) メンテナンスを解除すると
一度拾っている以前のイベントログの直近の 1 件を、毎回拾ってきてしまいます。
フォーラム上では同一現象を探したのですが、見当たらなかったので、質問させていただきます。
KAZ - 投稿数: 1085
koji.bzさん
確認ですが…
1) メンテナンス状態にして
ホストグループにメンテナンス期間を設定したのでしょうか?
koji.bz - 投稿数: 20
KAZ 様
「ホストグループにメンテナンス期間を設定」としてます。
TNK - 投稿数: 4671
拾ってくるというのは、最新データで見たときに同じログが2行分
Zabbixサーバ上に記録されているということでよろしいでしょうか。
今回の現象とは直接関係ないかもしれませんが、Zabbixサーバを稼
働させているサーバもOSの再起動をされていませんか?
もしも、利用されている環境がZabbix SIAが公開されているパッケ
ージを利用した2.0.4の環境ですとzabbix-serverの起動/終了スク
リプトに不具合があって、OSのシャットダウン時に正常にZabbixサ
ーバを終了できない問題があります。
このため、シャットダウン時にzabbix_serverプロセスが持ってい
て、データベースにまだ保存していないキャッシュ情報をデータベ
ースに保存できない場合があります。
これを防ぐためには、/etc/init.d/zabbix-server の修正が必要で
す。
具体的には、
lockfile=/var/lock/subsys/zabbixを
lockfile=/var/lock/subsys/zabbix-serverに修正する必要があります。
今回の問題の原因ではないかもしれませんが、他の問題も引き起こ
す可能性がありますので、ZabbixサーバのOS再起動を時々行われて
いる方は特にご注意ください。
Zabbix SIAのパッケージでは、2.0系は2.0.11以降であれば修正を
入れて頂いてあります。
# 2.2系は2.2.2以降対応済み。
あと、考えられるとしたらエージェントの不具合があるかもしれま
せんが具体的に同じ現象に対する不具合修正はみつけられませんで
した。
とはいえ、2.0.4以降にはさまざまな脆弱性の対応なども行われて
いますので、より新しいバージョンに更新されることをお勧めしま
す。
ただし、例えば、2.2.3ではログ監視系の問題が確認されているよ
うですので、ご自身で利用されている機能に問題が無いか事前に検
証環境などを用意してご確認をお願いいたします。
あと、関係ないかも知れませんが、Zabbixサーバと監視対象の時計
も合っているか確認してみてください。
koji.bz - 投稿数: 20
TNK 様
いつもありがとうございます。
> 拾ってくるというのは
→はい、おっしゃっているとおりの挙動となります。
> サーバもOSの再起動をされていませんか
→Zabbix サーバー側の再起動は、行っておりません
> もしも、利用されている環境がZabbix SIAが公開されているパッケ
> ージを利用した2.0.4の環境ですとzabbix-serverの起動/終了スク
> リプトに不具合があって、OSのシャットダウン時に正常にZabbixサ
> ーバを終了できない問題
→情報、ありがとうございます。
こちらについては、他の Zabbix サーバーで該当しそうですので、別途、確認します。
> とはいえ、2.0.4以降にはさまざまな脆弱性の対応なども行われて
> いますので、より新しいバージョンに更新されることをお勧め
→承知しました。
こちらが落し所かと考えておりました。
> 関係ないかも知れませんが、Zabbixサーバと監視対象の時計
> も合っているか確認
→同じ構成のサーバーで、同じ監視項目を設定しているもう一台では発生していないので、再確認してみます。