logrtキーによるログ監視について
いつもお世話になっております。
logrtキーによる監視が想定通りに行えません。
お手数ではございますが、下記についてご教示頂けませんでしょうか。
【環境】
OS:RHEL 6.2
Zabbix 1.8.10
【問題1】
logキーでは/var/log/messagesの監視が行えるのですが、logrtキーに変更した途端
ステータスが取得不可(トリガーの値がZBX_NOTSUPPORTED)となり、監視が行えません。
[アイテム]
タイプ:Zabbixエージェント(アクティブ)
キー:logrt[/var/log/messages,"[eE][rR][rR][oO][rR]"]
データ型:ログ
[トリガー]
{Template_Linux:logrt[/var/log/messages,"[eE][rR][rR][oO][rR]"].nodata(300)}=0
イベント生成:ノーマル
/var/log/messagesのアクセス権は644としています。
なぜステータスが有効とならないのでしょうか。
【問題2】
以下の設定にした場合、同様にステータスが取得不可になるのですが、
有効から取得不可になるまでの間(60秒程度)に、/var/log/messagesの
すべてのメッセージの行数分メールが送信されてきました。
error|fail|critical|fault|panicが含まれない行も検知されたのはなぜでしょうか。
[アイテム]
タイプ:Zabbixエージェント(アクティブ)
キー:logrt[/var/log/messages]
データ型:ログ
[トリガー]
{Template_Linux:logrt[/var/log/messages].iregexp(error|fail|critical|fault|panic)}=1
イベント生成:ノーマル
なお、行いたい監視の内容は、/var/log/messagesファイルでerror|fail|critical|fault|panicが
300秒以内に出力された場合、1通のみメールが送信される。
以上、よろしくお願い致します。
kodai - 投稿数: 1341
まずはzabbix_agentd.logに関連しそうなエラーが出ていないか確認してみてください。
hirofumi - 投稿数: 43
いつもお世話になっております。
初歩的な確認をしておらず、誠に申し訳ありません。
zabbix_agentd.log に、ローテート後の /var/log/messages-xxxxxxxx ファイルに
対して Permission denied の出力がありましたので、644にアクセス権限を
変更したところ、問題1については監視が行えるようになりました。
確認したいのですが、キーを logrt[/var/log/messages,"[eE][rR][rR][oO][rR]"] と
した場合でも、/var/log/messages だけでなく /var/log/messages-xxxxxxxx の
ファイルも対象となるのでしょうか。
問題2については、意図とは別として動作しているのでエラーは見受けられ
ませんでした。
以上、よろしくお願いいたします。
kodai - 投稿数: 1341
/var/logディレクトリにあるmessagesで始まるファイルがすべて対象になると思います。もしファイルが対象になっているかどうか調べたいようでしたら、zabbix_agentd.confのDebugを4にしてzabbix_agentd.logを確認してみてください。監視対象になっているログファイルの一覧が出力されるはずです。
これはちょっと分からないですね...。実際にすべての行数分のメールが送信されているのでしょうか?Zabbixはログファイルの監視を新規登録するとログファイルの先頭から読みにいきますので、ログファイル全体の行数と、error, fail, critical, fault, panicが含まれている行数、実際にメールが送信された数を調べられてみてはどうでしょうか?
wakaba - 投稿数: 228
広瀬です
> 【問題2】
> 以下の設定にした場合、同様にステータスが取得不可になるのですが、
> 有効から取得不可になるまでの間(60秒程度)に、/var/log/messagesの
> すべてのメッセージの行数分メールが送信されてきました。
> error|fail|critical|fault|panicが含まれない行も検知されたのはなぜでしょうか。
アクションのメール通知に、{ITEM.LASTVALUE}、{ITEM.VALUE}を利用されてませんか?
http://www.zabbix.jp/node/639 に関連しているかと・・・
違ったら、ごめんなさい。
hirofumi - 投稿数: 43
いつもお世話になっております。
本件、ご回答ありがとうございます。
頂いた内容を確認してまいりました。
【問題2】について、ご回答頂きました通り、エラーを検知した行と{ITEM.VALUE}が
ずれておりました。
また、条件式に含まれる[fault]がログ内に含まれる[default]を検知していたため、
大量のメールが送信されてきたものであると判明しました。
・/var/log/messages だけでなく /var/log/messages-xxxxxxxx も読み込む内容であったこと
・条件式に含まれる[fault]が[default]を検知していたこと
の上記2点により、意図となったようです。
大変お騒がせ致しました。
以上、ご回答ありがとうございました。