logチェックが重複して実施される
Zabbix:4.0.2
CentOS:7.3
あるログファイルを監視しております。
ログファイルに、指定したエラーメッセージが追記された場合にアラートを上げるようにしておりますが、
過去に追記済みのエラーメッセージを検知してアラートが上がっているような状態です。
Zabbixのログからは、追記分のみの監視ではなく、毎回対象のログファイルの先頭から全てチェックし直しているようにみえます。
追記分のみをチェックしたい場合は、どうすれば良いでしょうか。
今のlog関数は、log[パス\XXX.log,,,,skip,]となっており、条件式は以下です。
({log[パス\XXX.log,,,,skip,].iregexp(CommandException}=1) and ({log[パス\XXX.log,,,,skip,].nodata(300)}=0)
宜しくお願いいたします。
kinder - 投稿数: 12
追記
log関数について調べていると以下の記載がありました。
https://www.zabbix.com/documentation/2.2/jp/manual/config/items/itemtype...
・エージェントがログファイルを前回の続きから読み始めることができるように、分析済みのバイト数(サイズカウンタ)と最終更新時間(タイムカウンタ)がZabbixデータベースに保存され、エージェントに送信されます。
・エージェントが認識するログサイズカウンタ値よりもログファイルが小さい場合は必ず、カウンタが0にリセットされ、エージェントは、タイムカウンタを考慮して、ログファイルの先頭から読み始めます。
今までに監視されたサイズが積み重なって、もとのファイルサイズを超えていく場合は、追記分のみではなく、常に先頭読み直すような動きとなるのでしょうか。
TNK - 投稿数: 4671
いいえ。追記された分だけ読み込むようになっています。
しかし、Zabbixの古いバージョンでは、再読み込みをしてしまう不
具合があり、複数回機能改善の修正が行われています。
使用されているバージョンが4.0.2とかなり古いバージョンを使用
されているようですので、その不具合の条件に合致してしまうよう
な環境なのかもしれません。
Zabbixのバージョンを4.0の最新版に更新することをご検討くださ
い。
kinder - 投稿数: 12
ご回答ありがとうございます。
バグということですか。。。
私も条件式上は問題ないと思っておりました。
なので、仕様によるものか、不具合ではないかと考えておりました。
もし知っていたらで良いのですが、機能改善や不具合情報のリンク等が
すぐに出せそうであればご提供いただけないでしょうか。
kinder - 投稿数: 12
以下は確認できましたが、少し条件が違いそうでした。
https://support.zabbix.com/browse/ZBX-10884
Yasumi - 投稿数: 372
監視対象のOSはLinuxですか、Windowsですか?
もしWindowsでセキュリティソフトを入れていれば、ウィルスチェックの際にログファイルが更新されることで
ログの再読み込みが発生して多重検知を起こすかもしれません。
kinder - 投稿数: 12
Windowsです。
ウイルスチェックされ、ファイルが更新されると、Zabbixとしては別ファイルとしてみるということでしょうか。
Yasumi - 投稿数: 372
経験上ですが、可能性はあります。
一度監視対象のログファイルを、ウィルスチェック対象から除外して
同様の事象が起きるか確認してみてください。
kinder - 投稿数: 12
ありがとうございます。