Windows eventlog(system)からlogoff.exeの監視除外の設定

やりたいこと
-----
Windows eventlog(system)を”Error”のキーワードで監視していますので、
”Error”が検索された場合、アラームになります。
現在、logoff.exeが出力した”Error”を無視する設定に変更したいのですが、
下記のトリガーをどう変更すればよろしいでしょうか?
-----

現在稼動しているトリガー
-----
{hostname:eventlog[system].str("Error")}#0=0

以上、ご回答のほどよろしくお願いします。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

すぐに試せるWindows環境が無かったので、対象のイベントログの、

 ソース
 深刻度
 値

に具体的にどのような値が出力されているかをお教えいただけませ
んでしょうか?

ユーザー zade の写真

TNK様
ご連絡ありがとうございます。

現在、
「Error」が出力された場合、下記のトリガーが発砲し管理者に連絡する仕様です。
{hostname:eventlog[system].str("Error")}#0=0

ただし、logoffする際に、下記のメッセージがイベントログに出力されるため、
「Application popup: logoff.exe - Application Error : The application failed to initialize properly (0xc0000142). Click on OK to terminate the application.」
Errorのキーワードが入っていますが、無視する運用に変更する必要があります。

現在のトリガーを下記のトリガーに変更しましたが、うまくできませんでした。
{hostname:eventlog[system].str("Error")}#0=0=1

ですので、Errorのエラーメッセージが検知された場合、もし「logoff」が含まれたら、発砲しない設定を教えていただきたく存知ます。

以上、ご回答のほどよろしくお願いいたします。

ユーザー TNK の写真

つまり、イベントログの値の部分に

 「Error」が含まれて
 「logoff.exe」が含まれない

という条件にされたいのですね。
そうであるならば、以下のような条件にすればよいのではないでし
ょうか?

({hostname:eventlog[system].str("Error")}=1)&({hostname:eventlog[system].str("logoff.exe")}=0)

ご確認ください。

ユーザー zade の写真

TNK様

ご回答ありがとうございます。
これから確認させていただきます。

また、「条件式」欄に二つ以上条件式がある場合、
「イベント生成」欄に”ノーマル”ではなく、”ノーマル+障害イベントを継続して生成”で設定したほうがよろしいでしょうか?
(確実にイベント生成するそうですが。。。)

度々、申し訳ございませんが、
以上、ご回答のほどよろしくお願いいたします。

ユーザー TNK の写真

イベントログに連続して「Error」を含むイベントが出力され、そ
れをイベントログが出力されるたびに毎回アクションで処理された
いのであれば、

 ノーマル+障害イベントを継続して生成

を選択してください。
「ノーマル」を選択されている場合、そのトリガーが障害状態であ
るあいだは、新規にイベントログにトリガーの条件式で障害と判定
されるようなイベントログが出力されても、障害状態のままと判断
されて新たにアクションが実行されません。

あと、私は「regexp(@logoff)」というような案は提示しておりま
せん。
まずは、私が提示した案を利用して希望された動作になるのかを
ご確認ください。

ユーザー zade の写真

TNK様

お世話になっております。

>イベントログに連続して「Error」を含むイベントが出力され、そ
>れをイベントログが出力されるたびに毎回アクションで処理された
>いのであれば、
> ノーマル+障害イベントを継続して生成
>を選択してください。
>「ノーマル」を選択されている場合、そのトリガーが障害状態であ
>るあいだは、新規にイベントログにトリガーの条件式で障害と判定
>されるようなイベントログが出力されても、障害状態のままと判断
>されて新たにアクションが実行されません。

了承いたしました。

>あと、私は「regexp(@logoff)」というような案は提示しておりま
>せん。
>まずは、私が提示した案を利用して希望された動作になるのかを
>ご確認ください。

先程テストのため、前回に間違って掲示してしまった内容を修正しただけですので、
無視してください。

また、先程ご提示いただいた案で確認テストを実施しましたが、
新たな障害が発生しましたので、
ご教授ください。

状況:
Zabbixは本番と開発の二つあります。
同一な監視サーバに対して、
本番用のzabbixがイベントログを収集できますが、
開発用のzabbixがイベントログを収集できない状態です。
開発の最新データ画面にて、イベントログが表示されません。
(ちなみに、CPU,メモリー等の最新データが表示されますが。。。)
画面も添付しましたので、
ご確認をお願いいたします。
問題:
同一なサーバに対しは、2台のzabbixが同時にイベントログが収集できないのでしょうか?
収集が可能であれば、特別な設定が必要でしょうか?
設定方法もご教授ください。

お忙しいところ、申し訳ございませんが、
以上、ご回答のほどよろしくお願いいたします。

ユーザー TNK の写真

利用されているZabbixのバージョンはいくつでしょうか?
もし、Zabbix 1.8.12よりも前のバージョンを利用されているのであれば、
イベントログなど「Zabbixエージェント(アクティブ)」の種類のアイテムを
複数のZabbixサーバから監視することはできません。

Zabbix 1.8.12以降であれば、zabbix_agentd.conf内のServerActiveという
項目の設定を行うことで、複数のサーバで監視することができます。

ServerActiveの値として、用意されている複数のZabbixサーバのIPアドレス
をカンマ区切りで指定してみてください。
設定を変更したら、Zabbixエージェントを再起動することをお忘れなく。

詳細は、以下のURLにある資料をご確認下さい。
http://www.slideshare.net/BlueSkyDetector/zabbix-multipeserversupportina...

ユーザー zade の写真

TNK様

おはようございます。

弊社使っているZabbixのバージョンは1.8.5であるため、
複数のZabbixサーバから監視できないことが了承いたしました。
情報提供ありがとうございました。
(2.0にバージョンアップする予定ですので、その際にまだサポートのほどよろしくお願いいたします。)

ご提示いただいた案については、
現在本番環境では確認テストを実施していますので、
結果があり次第連絡させていただきます。

以上、よろしくお願いいたします。

ユーザー zade の写真

TNK様

お世話になっております。

ご提示いただいた案で確認テストを実施しました。
正常に監視していることを確定しましたので、
先程本番環境に導入しました。
本当にありがとうございました。

以上、今後ともよろしくお願いいたします。

ユーザー zade の写真

TNK様
ご連絡ありがとうございます。

現在、
「Error」が出力された場合、下記のトリガーが発砲し管理者に連絡する仕様です。
{hostname:eventlog[system].str("Error")}#0 & {hostname:eventlog[system].nodata(300)}=0

ただし、logoffする際に、下記のメッセージがイベントログに出力されるため、
「Application popup: logoff.exe - Application Error : The application failed to initialize properly (0xc0000142). Click on OK to terminate the application.」
Errorのキーワードが入っていますが、無視する運用に変更する必要があります。

現在のトリガーを下記のトリガーに変更しましたが、うまくできませんでした。
{hostname:eventlog[system].str("Error")}#0 & {hostname:eventlog[system].nodata(300)}=0 & {hostname:eventlog[system].regexp(@logoff)}=1

ですので、Errorのエラーメッセージが検知された場合、もし「logoff」が含まれたら、発砲しない設定を教えていただきたく存知ます。

以上、ご回答のほどよろしくお願いいたします。