WindowsServerのイベントログ監視について
初めて質問させていただきます。
投稿について不備がございましたらご指摘いただければと思います。
現在、運用監視の脱人間を目指し、zabbixを勉強しながら
設定を行っております。
その中でどうしても解決できない問題がありますので
質問させていただきます。
疑問点:
Windowsのイベントログをzabbixで収集し、特定イベントログだけトリガーで
メールを飛ばしたいが、logeventidで設定したイベントIDを含むイベントIDとなっている
ように見える。
環境:
zabbixサーバ
OS:CentOS7
zabbixバージョン:3.4.8
監視対象サーバ
OS:WindowsServer2016
設定した内容
・テンプレートを作成しアプリケーションに以下を設定
eventlog[system,,"Warning|Error|Critical",,,,]
→システムのイベントログの警告、エラー、クリティカルのみを収集
・上記のテンプレートにトリガーとして以下を設定
{WindowsEvent:eventlog[system,,"Warning|Error|Critical",,,,].logeventid(5)}=1
上記の設定で現在問題なく動いているように見えたのですが、
Windowsのイベントログに、警告以上でイベントIDに5が含まれる場合も
トリガーが反応し、メールが送信されダッシュボードにも記録されてしまします。
例えばイベントID505や1005などがトリガーが反応します。
設定したい内容としては、logeventidで設定したIDのみトリガーを
反応させたいたのですが、どのように設定すればよろしいのでしょうか。
以上よろしくお願いいたします。
Yasumi - 投稿数: 373
これはID5だけを監視したいということでしょうか?
もし可能ならソースで指定するのを推奨しますが、
そのままいくのならイベントIDで正規表現かな…と思います。
ちょっと自信がないのですが、下記のようなイメージでしょうか。。。
===================================================
eventlog[system,,"Warning|Error|Critical",,@eventid,,]
@eventid
5 文字列が含まれる
\.([0-9]{1}5|5[0-9]{1}) 結果が偽
===================================================
※eventlogのID部分を正規表現で5を含むようにして、
かつ[0-9]を一文字と5、5と[0-9]を一文字を含まないイメージ。
yk_taiko - 投稿数: 184
トリガー関数「logeventid」は正規表現での指定となります。
正規表現で単純に "5" と入れると、部分一致での合致となります。
それを防ぎたい場合、以下のように「<行頭>5<末尾>」であると指定してあげる必要があります。
^5$
TED - 投稿数: 2
Yasumi様
yk_taiko様
ご回答ありがとうございます。
logeventidは正規表現となることで理解いたしました。
現在警告以上のアラートはすべて取得し、月末に提出という運用が
あるので、yk_taiko様の案で検証を進めたいと思います。
ありがとうございました。