Windowsイベントログ監視にて指定した文字列とは別の文字列を検知してしまう
お世話になります。
現在、Zabbix4.0でイベントログ監視を行っているのですが、トリガーにて指定した文字列とは別の文字列を検知し、
意図していない内容で誤検知してしまいます。
各設定は以下のようになっております。
①複数の文字列を1つの正規表現に設定
②その正規表現をキーとしてアイテムを作成
③その作成したアイテムを利用し、各文字列を検知するトリガーを設定
トリガーは計5つ設定しており、条件式では「iregexp」を使用、【AA0001】のような文字列を指定しています。
この5つの中の1つが別の文字列を検知してしまっています。
※別の文字列とは他の4つに設定されているうちの1つです
以下はアイテム・トリガー及びアラート(メール)の例になります。
【誤検知例】
【アイテム】:eventlog[Application,@xx-eventlog_xxxx,,@xx-eventlog_source,,,]
【トリガー】:{xxx-xxx01x:eventlog[Application,@xx-eventlog_xxxx,,@xx-eventlog_source,,,].iregexp(【AA0001】)}=1
and
{xxx-xxx01x:eventlog[Application,@xx-eventlog_xxxx,,@xx-eventlog_source,,,].nodata(1m)}=0
【アラートメール】
監視種別:【AA0000】←指定検知文字列
詳細情報:hogehoge【AA0001】hogehoge ←指定していない別の文字列を検知している
【成功例】
【アイテム】:eventlog[Application,@【AA0001】,,@xx-eventlog_source,,,]
【トリガー】:{xxx-xxx01x:eventlog[Application,@【AA0001】,,@xx-eventlog_source,,,].iregexp(@【AA0001】)}=1
and
{xxx-xxx01x:eventlog[Application,@【AA0001】,,@xx-eventlog_source,,,].nodata(1m)}=0
【アラートメール】
監視種別:【AA0000】←指定検知文字列
詳細情報:hogehoge【AA0000】hogehoge ←指定している文字列を検知している
環境は下記となります。
【Zabbixサーバー】バージョン4.0.10
【Zabbixエージェント】バージョン4.2.3
【OS】CentOS 6.9
現在、暫定対応として複数の文字列をまとめてではなく1つずつの正規表現・アイテム・トリガーとして作成しております。
この設定方法では指定した文字列を正確に検知し、意図したとおりの動作となっております。
確認をしていた際に気になったことが1つあり、「監視データ」⇒「最新データ」のヒストリにて問題となっている
検知したい文字列と誤検知してしまっている文字列が全くの同時刻に載っているという事です。
上記の問題を解決する方法がございましたら、ご教示いただきたく存じます。
よろしくお願いいたします。
TNK - 投稿数: 4671
アクションの設定でメッセージの内容をどのように設定しています
か?
アイテムの値として、マクロの{ITEM.LASTVALUE} を使ったりして
いませんか?
DSR-1 - 投稿数: 31
TNK様
お世話になります。
確かにアクションのメッセージ内容に{ITEM.LASTVALUE} を使用しております。
これが原因となっているのですか?
よろしくお願いいたします。
TNK - 投稿数: 4671
{ITEM.LASTVALUE}は、トリガーイベントが発生した時のアイテムの
値ではなく、トリガーイベントが発生して、アクションを実行する
時の最新の値なので、トリガーイベントが発生してからアクション
が実行されるまでの間にeventlog[]の新しい値が取得できていたら、
その値で上書きされます。
トリガーイベントが発生した時の値を、アクションのメッセージ内
に入れる場合は、{ITEM.VALUE}を使用してください。
DSR-1 - 投稿数: 31
TNK様
お世話になります。
早速いただいた情報の通りにアクションのメッセージ内容を修正いたしました。
結果が出次第コメントにて投稿いたします。
よろしくお願いいたします。
DSR-1 - 投稿数: 31
TNK様
お世話になります。
設定を修正した結果、意図した通りの動作となりました。
情報をご提供いただきありがとうございました。
よろしくお願いいたします。