取得した情報がトリガー検知から漏れる事象について
連日お世話になります。
現在ログ監視に関するトリガー動作の確認をしています。
同時刻にトリガー検知対象のメッセージを計18件取得しているのですが、
実際にトリガーが検知したのは内2件のみという事象が発生しています。
トリガー検知漏れの条件や防ぐための方法をご存じの方がいましたらご教示お願いいたします。
===============================
バージョン:Zabbix4.0
OS:Linux
アイテムキー:
log[/var/log/AAA.log,@message]
トリガー:
{log[/var/log/AAA.log,@message].regexp()}=1
グローバルマクロ @messageについて:
ErrorやWarningなどの合計4ワードを[結果が真]で指定しています
その他情報:
MAXLinesPerSecondの値はデフォルト20のままです
TNK - 投稿数: 4671
トリガーの設定で、「障害イベント生成モード」として「複数」を
選択していますか?
「単一」を選択していると、トリガーの状態が障害だと複数障害の
条件に合致するものがあっても、最初のトリガーの状態を障害に変
更した分だけしかトリガーのイベントが発生しません。
あとregexp()の引数は指定していないのですか?
otakon1012 - 投稿数: 30
TNKさん
いつもありがとうございます。
・障害イベント生成モード
障害イベント生成モードは「複数」に設定しています。
・regexp()について
regexp()の引数は指定していません。
理由としては、アイテム取得時にトリガーに引っ掛けたいメッセージを絞っているため
不要なのではないか、と判断したため指定していない状態です。
yk_taiko - 投稿数: 184
正規表現の「合計4ワードを[結果が真]で指定」は 1ワード 1行でしょうか? それとも 4ワードを正規表現を使用して 1 行にしているのでしょうか。
※「結果が真」の場合は各行が and 条件となるため
otakon1012 - 投稿数: 30
yk_taikoさん
コメントありがとうございます。
正規表現は4ワード1行( 例:(A|B|C|D) )で記載しています。
yk_taiko - 投稿数: 184
あとは、該当の行がやたら長い(256k 以上)とか、
取り込まれなかった行を、正規表現設定画面のテストで 真となるかどうか見てみる といったところでしょうか.
※制限事項はログ監視のページの中程からつらつらと書いてあります
https://www.zabbix.com/documentation/4.0/manual/config/items/itemtypes/l...
otakon1012 - 投稿数: 30
yk_taikoさん
恐らく大丈夫だとは思いますが、文字制限の件等確認してみます。
ありがとうございます。