Windowsのログ監視について
始めまして。
WINDOWSのログ監視をテストしております。
windowsサーバに対しアイテムで
イベントログ
アプリケーションログ eventlog[application]
システムログ eventlog[System]
セキュリティ eventlog[security]
ログ
log[<C:\zabbixのログ設置場所>]
のアイテム設定を行いトリガーによる文字列検索で
{eventlog[<ログ名称>].str(<検索文字>)}=1
と言う様な文字列検索を設定。
上の状況で、監視データ→最新の値を確認すると最新のチェック日付が
まちまちで、アイテムにより取得できているものと出来ていないものがあります。
また、日によって全く取得が行われていない様な状況も見受られます。
各ログデータに最新ログがある事は確認しています。
何か原因についてご教授頂けないでしょうか。
設定→アイテム画面でエラーは発生していません。
過去ログにある、.confのサーバ名とホスト名の違いも確認しまた一部ログ
取得できているタイミングもある為、その部分のエラーではないと思って
います。
気になる部分として、エージェントのエラーログに
send value error: [recv] ZBX_TCP_READ() failed [接続済みの
呼び出し先が一定の時間を過ぎても正しく応答しなかったため、
接続できませんでした。または接続済みのホストが応答しなかっ
たため、確立された接続は失敗しました。]
のエラーが発生していました。
環境
サーバ Centos CentOS release 5.2
zabbixサーバ 1.6.2
エージェントOS WindowsServer2003R2
zabbixエージェント 1.6.2
ログ監視以外の設定もテンプレートのデフォルトで実施しておりますが、こち
らの方は正常に情報取得されています。
kodai - 投稿数: 1341
こんにちは。
# 通知メールが化けてしまっていまして、できれば半角カナは利用しないようにして頂けると助かります。
Windowsのイベントログ監視ですが、現状ではZABBIXは内部的にマルチバイト対応が不完全なので、監視はできますが文字化けが起こったり、日本語の部分が抜け落ちたりします。
この問題は将来的に対応する予定です。
この点もエンコードの問題で発生しているのかもしれません。
アクティブチェックは通常の監視とは異なり、エージェントが能動的にサーバにデータを送付します。ZABBIXエージェントからZABBIXサーバへのネットワーク的な通信が不安定ということはないでしょうか?
katsu - 投稿数: 5
返答ありがとうございます。また半角カナの件了解しました。今後きおつけます。
マルチバイトの部分の文字化け・判定は了解していました。
ログから1バイト系の文字判断であれば、2バイト系と混在でもログ判断できるかと思いテストしておりました。
この件ログを調べた所、eventlog[security]で取得したデータをサーバへ送る時にエラーとなり、全てのアクティブチェックが動いていない様に見えている様です。
このエラーをはいているeventlog[security]のアイテムを無効にすると、他のアクティブエージェントからの情報をサーバに取込む様になりました。
エラー時のログ(一部抜粋)
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
5012:20090313:102106 In send_buffer('172.20.1.103','10051')
5012:20090313:102106 Values in the buffer 99 Max 100
5012:20090313:102106 Will not send now. Now 1236907266 lastsent 1236907265 < 5
5012:20090313:102106 Buffer: new element 99
5012:20090313:102106 In zbx_open_eventlog() [source:security]
5012:20090313:102106 In zbx_get_eventlog_message() [source:security] [which:16955521]
5012:20090313:102106 In process_value('host01','eventlog[security]','ネットワーク ログオンの成功:
ユーザー名: HOST01$
ドメイン: DOM01
ログオン ID: (***,********)
ログオンの種類: 3
ログオン プロセス: Kerberos
認証パッケージ: Kerberos
ワークステーション名:
ログオン GUID: {****-****-****-****-********}
呼び出し側ユーザー名: -
呼び出し側ドメイン: -
呼び出し側ログオン ID: -
呼び出し側プロセス ID: -
移行されたサービス: -
ソース ネットワーク アドレス: 172.20.1.10
ソース ポート: 3803
')
5012:20090313:102106 In send_buffer('172.20.1.103','10051')
5012:20090313:102106 Values in the buffer 100 Max 100
5012:20090313:102106 JSON before sending [{
"request":"agent data",
"data":[
{
"host":"host01",
"key":"eventlog[security]",
"value":"新しいログオンへの特権の割り当て:\r\n\r\n\tユーザー名:\thost01$\r\n\r\n\tドメイン:\t\tUSER01\r\n\r\n\tログオン ID:\t\t(***,********)\r\n\r\n\t特権:\tSeSecurityPrivilege\r\n\t\t\tSeBackupPrivilege\r\n\t\t\tSeRestorePrivilege\r\n\t\t\tSeTakeOwnershipPrivilege\r\n\t\t\tSeDebugPrivilege\r\n\t\t\tSeSystemEnvironmentPrivilege\r\n\t\t\tSeLoadDriverPrivilege\r\n\t\t\tSeImpersonatePrivilege\r\n\t\t\tSeEnableDelegationPrivilege\r\n",
"lastlogsize":16955421,
"timestamp":1236239684,
"source":"Security",
"severity":8,
"clock":1236907265},
{
・
・
・
{
"host":"host01",
"key":"eventlog[security]",
"value":"新しいログオンへの特権の割り当て:\r\n\r\n\tユーザー名:\thost01$\r\n\r\n\tドメイン:\t\tUSER01\r\n\r\n\tログオン ID:\t\t(***,********)\r\n\r\n\t特権:\tSeSecurityPrivilege\r\n\t\t\tSeBackupPrivilege\r\n\t\t\tSeRestorePrivilege\r\n\t\t\tSeTakeOwnershipPrivilege\r\n\t\t\tSeDebugPrivilege\r\n\t\t\tSeSystemEnvironmentPrivilege\r\n\t\t\tSeLoadDriverPrivilege\r\n\t\t\tSeImpersonatePrivilege\r\n\t\t\tSeEnableDelegationPrivilege\r\n",
"lastlogsize":16955520,
"timestamp":1236239684,
"source":"Security",
"severity":8,
"clock":1236907266}],
"clock":1236907266}]
5012:20090313:102206 Send value error: [recv] ZBX_TCP_READ() failed [接続済みの呼び出し先が一定の時間を過ぎても正しく応答しなかったため、接続できませんでした。または接続済みのホストが応答しなかったため、確立された接続は失敗しました。
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑
原因についてですが、ネットワークはエージェント機からサーバ機へのpingで常に1ms程度なので問題ないと思われます。
やはり、エンコードの問題でしょうか?
また、文字化け等発生しても良いのでログの収集を継続する方法があればご教授頂けないでしょうか。
よろしくお願いします。
kodai - 投稿数: 1341
ログの送付ありがとうございます。
eventlog[security]のログが何らかの原因でZABBIXサーバ側に送付できずにエラーになってしまい、ZABBIXサーバ側で処理が止まって他のイベントログまで影響が出てしまっているようですね。
ZABBIXサーバ側では何か関連しそうなログは出ていないでしょうか?
katsu - 投稿数: 5
返信ありがとうございます。
サーバログを取得しようと、zabbix_server.confの変更(ログレベル)と他ホストの監視無効及び対象ホストのイベントログ以外のアイテムの無効を行いサービス再開したところ、上のエラーが発生しなくなりました。
また、無効にしたホスト・アイテムの監視を再度再開しても同様のエラーが発生しなくなりました。
データの変更等もしていないので、原因は全く掴めない状況です。
原因不明の為、また同様になるかもしれませんが再発できないのでしばらくこの状態で様子を見て再度質問させて頂きます。