rsyncしたログの監視について何か良い方法は無いでしょうか
他サーバからrsyncしたログを監視したいのですが、常に新しいファイルとして認識してしまい、都度アラートが上がってしまいます。
なにか良い方法をご存じの方はいらっしゃらないでしょうか?
■現状・やりたいこと
1. 対象サーバ(A)(複数)は事情がありzabbix agentを入れられない。このサーバのログを監視したい。
2. Aのログをrsyncで定期的(5分毎)にagentが入っているサーバ(B)に上書きコピーしている(ファイル名は常に同一)
3. Bをzabbix server(C)からキーワードでログ監視(エラー文字のキーワードを監視)
アイテム: log[/home/user/logs/xxxx.log,@keyword-log,,,skip]
トリガー: {log[/home/user/logs/xxxx.log,@keyword-log,,,skip].iregexp(@error-keyword)}=1
■結果
・ログ取得、監視(キーワードによるトリガー)は動いているが、
監視データ→最新データ→ヒストリを見ると5分おきに同じ行を取得している。
・このため、同じアラートが5分おきにあがってしまう。
■原因(だと思う)
公式ドキュメントにも記述がある↓が原因だと思っています。
対象logをstatコマンドで見るとrsyncされた後、Inode番号、Modify、Changeが変わっています。
Do not modify the last modification time of log files with 'touch' utility, do not copy a log file with later restoration of the original name (this will change the file inode number). In both cases the file will be counted as different and will be analyzed from the start, which may result in duplicated alerts.
https://www.zabbix.com/documentation/4.2/manual/config/items/itemtypes/l...
■お聞きしたいこと
対象サーバにagentを入れる以外の方法で、対象サーバのログを監視する方法は無いでしょうか?
rsyncしたログから新しい行だけ追記するようなプログラム等でも解決できそうな気がするのですが、
心当たりがない&ログが2重になるので、スマートな方法があるなら是非お知恵を拝借したいです。
■試したこと
アイテムを、
・log[/home/user/logs/xxxx.log,@keyword-log,,,all]
・logrt[/home/user/logs/xxxx.log,@keyword-log,,,skip]
→変わらず(同じ行を取得してしまう)
■環境/設定
・amazon linux / ext4
・zabbix 4.2.6 (server, agent)
・ログはrsync -avhze でコピー
・アイテム
zabbixエージェント(アクティブ)、データ型:ログ、監視間隔:5m、ヒストリの保存期間:1w
よろしくおねがいします。
TNK - 投稿数: 4671
rsyncでコピーしたファイルを直接監視するのはZabbixのlog[]や
logrt[]を使用する方法では無理だと思います。
syslogサーバーを使用して、ログを収集するログ用サーバーにログ
を集約し、Zabbixでそのログ用サーバー上のログファイルを監視す
るという方法はいかがでしょうか?
使用されているAmazon Linuxのバージョンが不明ですが、rsyslog
などが既にインストールされていたりしませんか?
koike - 投稿数: 3
TNKさま
なるほど。
rsyncでログをコピーするのではなく、syslogで転送して、それを監視するのですね。
各サーバのアプリケーションは直接syslogにはログをはけないのですが、logger等を使えばなんとかなるかもしれません。
ありがとうございました!
https://ja.stackoverflow.com/questions/22809/%E3%83%AD%E3%82%B0%E3%83%A1...