ログ監視の除外リストの設定
お世話になっております。
イベントログ監視にて、重要度がエラーまたは警告の
メッセージについては障害として検知する設定としています。
重要度がエラーまたは警告のメッセージですが、
ある特定の文字列が含まれる場合は、障害として
検知させないようにしたいと考えています。
過去ログを見たところ、[管理] -> [一般設定]から「正規表現」の
機能を利用すれば対応可能なことがわかりましたが、この正規表現の登録について質問があります。
障害として検知させたくない文字列を含むイベントログの
種類が複数ある場合、例えば10種類ある場合、正規表現は
10個登録する必要があるのでしょうか?
kodai - 投稿数: 1341
まずは一般的に「正規表現」がどういうものか、を調べてみてください。
http://ja.wikipedia.org/wiki/正規表現
Zabbixのeventlogキーの設定では、一般的なPOSIX拡張正規表現が利用できます。
また、一般設定の正規表現の設定では「いずれかの文字列が含まれる」という選択肢がありますので、こちらを利用すれば1つの設定で複数キーワードが登録できます。
OKB - 投稿数: 40
kodai様
お世話になっております。
ご回答ありがとうございます。
一般設定の正規表現についてもう少し質問させてください。
例えば、イベントログの重要度はエラーで出力されますが、
障害として検知したくないイベントログが以下のように
複数ある場合を想定しています。
(イベントログ?)
--------------------------
NET Runtime Optimization Service
--------------------------
(イベントログ?)
--------------------------
オペレーティング システム エラー
--------------------------
(イベントログ?)
--------------------------
ファイルを開けません
--------------------------
[管理]→[一般設定]の「条件式」には、「テスト文字列」に
対しての条件を設定する必要があると思っていますので、
1つのイベントログに複数の除外したい文字列が複数ある場合は、
「いずれかの文字列が含まれるとき」を選択し、除外したい文字列を複数登録可能かと思っています。
しかし、今回やりたいと思っていますのは、イベントログ?〜?を
除外したいと考えています。そのため、「テスト文字列」に登録
する文字列はイベントログ?〜?の3種類となり、それぞれに
ついて除外したい文字列を「条件式」に設定する必要があると
考えますので、結果的に正規表現を3つ登録することになると
思ったのですが、認識が違っていますか?
kodai - 投稿数: 1341
「テスト文字列」は設定ではなく、設定している正規表現のテストを行うためのフィールドです。
例えば、特定の文字列を除外する正規表現設定を作成したい場合、一般設定->正規表現の設定で
名前: exclude
条件式: 除外する文字列を設定 (「文字列が含まれない」を選択)
と設定し、トリガーには{hostname:eventlog[System].regexp(@exclude)}と設定します。
正規表現設定の条件式は複数設定できますので、除外条件が複雑な場合や、エラー判定も同時に設定することができます。
OKB - 投稿数: 40
kodai様
お世話になっております。
設定方法の詳しい説明ありがとうございます。
設定してみます。