システムステータスの変更について
いつもお世話になっております。
ダッシュボードのシステムステータスについて質問がございます。
Windowsのイベントログの監視で、1度検知したエラーログがいつまでもダッシュボードに重度の障害として残っています。
1.これは、トリガーのヒストリ保存期間の間は、ずっとシステムステータスに重度の障害として残り続けるのでしょうか。
2.保存期間が関係する場合、LinuxやSolarisのログ監視では保存期間を過ぎていないのに、
検知したエラーがいつの間にかダッシュボードから消えています。この違いは何でしょうか。
3.手動でステータスを変更し、システムステータスに表示させないようにできないでしょうか。
以上、ご教示頂けますと幸いです。
kodai - 投稿数: 1341
ログ監視の場合、Zabbixは各行を順に評価して障害検知を評価します。
そのため、最後に受信した行がエラーと評価されればトリガーのステータスは障害のままになりますし、最後の行が正常行であればトリガーは正常になります。
例えば、正常、エラー、正常という3行のログを受信した場合、
正常行 -> 受信前にトリガーが正常ステータスであれば変化なし
エラー行 -> 障害イベントを生成、トリガーは障害ステータス
正常行 -> 復旧イベントを生成、トリガーは正常ステータス
という動きをします。
ダッシュボードだけを見ていると途中のエラー行のステータス変化を見落としてしまう可能性があるので、ログ監視の場合はイベントのステータスを見ることをお勧めします。
手動でステータスを変更する方法としては障害対応コメント機能を使う方法があります。
http://www.zabbix.jp/modules/newbb/viewtopic.php?viewmode=flat&topic_id=491&forum=6
hirofumi - 投稿数: 43
ログ監視の詳細な内容についてご説明頂き、ありがとうございます。
各行を順に評価して障害検知を評価するとのこと、承知致しました。
ダッシュボードだけを見て確認しているわけではないのですが、いつまでも過去のものが残ってしまうと
新しい障害かどうかの区別がしにくいと思いまして、質問させて頂きました。
今回、以下のトリガーでWindowsのシステムログを検知しています。
{ホスト名:eventlog[system].logseverity(4)}=1
システムログの最新イベントは情報レベルなのですが、ダッシュボードには障害として残ったままとなっており、
その点が理解出来ておりません。
「監視データ」→「最新データ」→「ヒストリ」で確認しても深刻度は「情報」で埋まっており、
何が原因でダッシュボードに障害ステータスとして残っているのか分からない状況です。
何か見逃している点などあれば、ご教示頂けませんでしょうか。
以上、よろしくお願い致します。