ログ監視に於いて大量のログレコード検知時でもアクション起動を1件にしたい

初めてForumを使わせて頂きます。
宜しくお願いいたします。

ZABBIX Server v1.6.9-3(CentOS v5.7 32bit)
ZABBIX Agent v1.6.9-3(CentOS v5.7 32bit)

上記のZABBIX監視構成にて
Linuxのとあるログを監視しています。

・監視間隔=300秒(5分)
・アイテムタイプ="ZABBIXエージェント(アクティブ)"
・使用キー"log[/XXXXX.log]"
・データ型="ログ"
・トリガーは以下
{HOST1:log[/XXXX.log].str([ERROR])}=1

この状況下で5分間にストリング"ERROR"を含んだ
ログレコードが大量に発生した場合は
その件数分だけアクションの対象になってしまいます。
大量メッセージが出てもZABBIXとしてアラートは1件で
構わないので、その場合の設定方法をご教授頂けませんでしょうか?

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー mocha の写真

もうずいぶん昔の記事で今更感ありあり且つもうみんな知ってる気がするですが、自分の備忘をかねて。

トリガーを連続生成しない場合、トリガの状態が「正常」⇒「障害」または「障害」⇒「正常」にかわったときにイベントが生成されます。
ログ監視系のトリガであれば、受信したログが条件にマッチしたときにイベントが「障害」になり、マッチしないログがきたときに「正常」になります。
「ERROR」を検知条件にしているトリガーの元アイテムでログを受信したときの動きは・・・

15/12/04 00:00:01 INFO: 1   ・・・ トリガは正常
15/12/04 00:00:02 INFO: 2   ・・・ トリガは正常
15/12/04 00:00:03 ERROR: 1 ・・・ トリガは障害 ⇒正常から障害にかわったので イベント発行
15/12/04 00:00:04 ERROR: 2 ・・・ トリガは障害
15/12/04 00:00:05 ERROR: 3 ・・・ トリガは障害
15/12/04 00:00:06 INFO: 3   ・・・ トリガは正常 ⇒障害から正常にかわったので イベント発行
15/12/04 00:00:07 ERROR: 4 ・・・ トリガは障害 ⇒正常から障害にかわったので イベント発行
15/12/04 00:00:08 INFO: 4   ・・・ トリガは正常 ⇒障害から正常にかわったので イベント発行

となります。
この動きをもとにアクション側の定義をプランニングして頂ければ、思い通りのメッセージをメール送信したりできるようになります。

ユーザー Koji Okano の写真

トピ主です(アカウントが変わりました)
4年前の質問にコメントありがとうございます。
私もその後、ZABBIXでのログ監視について色々と分かった部分がありました。
(ちなみにバージョンも変わっていますが)

ログ監視の異常、正常はキーワード合致するものをトリガー障害とした時、
キーワード合致しないログが挿入されるとトリガー正常になる事が分かりました。
連続生成すれば異常毎に発生するのですが、
連続生成しない場合は1度ERROR以外のログが挿入されないと
一生(は言い過ぎ?)アラート検知されないようです。

ERRORログのみを吐くログ監視の場合は連続生成、
INFO系ログの中でERRORを検知する場合は
ログの頻度によって使い分けという感じで考えています。

ユーザー kodai の写真

Zabbixのアクション設定はイベントに紐づいて毎回評価される仕組みになっているので、基本的にイベントを集約して通知という機能はありません。

連続した障害を検知しなくても良いのでしたら、トリガー設定の「障害イベントを連続して生成」のチェックを外すと、

ERROR
ERROR
ERROR

のようなログが出力された場合は最初の1通しかイベントが生成されません。ただし、一度ERROR以外の行を受け取ってトリガーのステータスが正常にならない限り、次のイベントは生成されません。

また、

ERROR
WARNING
ERROR
WARNING
ERROR

のようなログの場合は、各WARNINGの行でトリガーが正常に戻ってしまうため、すべてのERROR行でイベントが生成されて3通メールが送信されます。

ユーザー okanokouji の写真

kodai様、
ご連絡遅くなりすいません。
並びにご回答ありがとうございます。

仕様については理解いたしました。

最後に一点以下の件

> ただし、一度ERROR以外の行を受け取ってトリガーの
> ステータスが正常にならない限り、
> 次のイベントは生成されません。

についてもう少しお伺い致したいです。

例えば監視対象ログにはエラーレコードしか書かれない
仕様のログファイルに対して監視を掛ける場合、
「障害イベントを連続して生成」のチェックを外すと
最初の1件だけアクションが実行されると
以降追加でエラーレコードが書き込まれても
検知されないという事でしょうか?