ログ監視のアイテム取得不可
/var/log/secureのログ監視を実施しようと思い、アイテム登録を試みておりますが
取得不可となってしまいます。
環境は以下の通りです。
OS: CentOS 6.5 64bit
zabbixサーバ:2.0.11
zabbixエージェント:2.0.11
サーバとエージェントは別のサーバですが同一セグメント。
エージェントの設定は
Listen IP:エージェントのIP
Server:サーバのIP
ServerActive:サーバのIP:10051
AllowRoot=1
今までに試行したこと。
1./var/log/secureのアクセス権限を644とする。
→アイテムの取得不可
2.sudo -u zabbix cat /var/log/secure
→ログが表示される
3.lsofで/var/log/secureを確認
→戻り値なし
4./usr/sbin/zabbix_agentd -t log[/var/log/secure]
コマンドをエージェントで実施
→ZBX_NOTSUPPORTED
5.エージェントのバージョンアップ(2.0.12)
→アイテムの取得不可。確認後ダウングレード
6./var/logにtest.logを作成してアイテム取得を試みる
→アイテム取得不可。エージェントのログにNo such file or directory
その一方で、zabbix_agentd.logは取得できておりますし
/var/log/boot.logの取得もできております。
他に何をすれば問題解決するのか手詰まりとなっております。
詳しい方にご教示頂きたいと思います。
よろしくお願い致します。
TNK - 投稿数: 4720
SELinuxはどのような設定にされていますか?
AllowRoot=1と設定されたということは、Zabbixエージェントはroot
アカウントで起動するようにされたのですか?
1.は、取得不可になってから変更されたのですか?
取得不可であったのならば、パーミッション変更後、アイテムを一
時的に無効->有効にしたりされましたか?
されていないのであれば、取得不可になったアイテムに関しては、
再度取得できるかリトライするまでに時間がかかります。
どの程度の時間が経過した後で取得不可の状態のままであることを
確認されましたか?
4.は仕様です。
ログ関連のアイテムは、「Zabbixエージェント(アクティブ)」であ
ることが必要であるため、zabbix_agentd -tやzabbix_getでは確認
できません。
6.は、アイテムとして設定されたタイミングとログファイルを作
成されたタイミングとログが出力されたタイミングとを再確認して
ください。
/var/log/zabbixディレクトリ以下のログファイルにも、問題を解
決するための情報が出力されていると思いますので、ログファイル
の内容も再度ご確認ください。
katsuyuki - 投稿数: 8
早速の回答有難うございます。
>SELinuxはどのような設定にされていますか?
SELinuxはDisabledにしております。
>1.は、取得不可になってから変更されたのですか?
エージェントの設定時には先に644としておりました。
>4.は仕様です。
了解しました。
できないのが正解なのですね。
>6.は、アイテムとして設定されたタイミングとログファイルを作
>成されたタイミングとログが出力されたタイミングとを再確認して
>ください。
test.logを作成し、その後にアイテム登録をしました。
test.logはダミーなので、viで作成しております。
>/var/log/zabbixディレクトリ以下のログファイルにも、問題を解
>決するための情報が出力されていると思いますので、ログファイル
>の内容も再度ご確認ください。
エージェント側のログには何も出てきていないのです。
あえてパーミッションを600とかにすると、Permission errorが出てきてくれるのですが・・・
TNK - 投稿数: 4720
パーミッションエラーの場合はエラーログが出力され、それ以外で
取得不可になるのであれば、設定に誤りがある可能性が考えられま
す。
具体的にどのようなアイテムを設定されているのかお教えください。
katsuyuki - 投稿数: 8
コメント有難うございます。
アイテムの設定は
タイプ:zabbixエージェント(アクティブ)
キー:log[/var/log/secure]
データ型:ログ
更新間隔:30
ヒストリ保存:90
アプリケーション:Security
です。
エージェントのログファイルをzabbixで取り込んで確認すると、cannot open となっておりました。
ファイルのパーミッションは644です。
よろしくお願い致します。
KAZ - 投稿数: 1085
katsuyuki さん
TNKさん、素早いですね…A(^^;
下記の設定でうまくいきました。
ご参考まで…
OS: CentOS 6.4 64bit
zabbixサーバ:2.0.11
zabbixエージェント:2.0.11
]# getenforce
Disabled
]# ls -l /var/log/secure
-rw-r--r-- 1 root root 9186 6月 6 15:00 2014 /var/log/secure
エージェントの設定は
Listen IP:エージェントのIP
Server:サーバのIP
ServerActive:サーバのIP:10051
AllowRoot=0
AllowRoot=1でも、取得出来ました。 2014/6/6 16:13 追記
katsuyuki - 投稿数: 8
参考情報ありがとうございます。
私は全く同じ設定で失敗します。
パーミッションは以下の通りです。
-rw-r--r-- 1 root root 12741 Jun 6 18:04 secure
ログではcannot openと出ており、Permission deniedだそうです。何故?
katsuyuki - 投稿数: 8
現時点での途中経過を自己レスします。
アイテムは取得不可と有効を取得不可からの更新間隔に従って繰り返しているようです。
有効期間の間にデータは取得できているようで、
[監視データ]→[最新データ]→該当するアイテム(/var/log/secure)→[ヒストリ]
と辿っていくと値が表示されています。
値の日時を確認しても最新が出ているようです。
取得不可にさえならなければ、正常動作に思えます。
以上です。
KAZ - 投稿数: 1085
katsuyukiさん
エラーが出ているタイミングは不定期ですか?
また、ログのローテートはどうやってますか?
※:デフォルトなら/etc/logrotate.confと/etc/logrotate.d/syslogにかかれている内容でローテートしていると思いますが…
katsuyuki - 投稿数: 8
KAZさん
>エラーが出ているタイミングは不定期ですか?
デフォルトで取得不可になっているように見えます。
>また、ログのローテートはどうやってますか?
>※:デフォルトなら/etc/logrotate.confと/etc/logrotate.d/syslogにかかれている内容でローテートしていると思いますが…
デフォルトです。
特に何もしておりません。
よろしくお願い致します。
KAZ - 投稿数: 1085
katsuyuki さん
デフォルトで取得不可になっているように見えます。
???
取得不可と可能を繰り返しているのですよね?A(^^;
↓この件
アイテムは取得不可と有効を取得不可からの更新間隔に従って繰り返しているようです。
有効期間の間にデータは取得できているようで、
[監視データ]→[最新データ]→該当するアイテム(/var/log/secure)→[ヒストリ]
と辿っていくと値が表示されています。
値の日時を確認しても最新が出ているようです。
取得不可にさえならなければ、正常動作に思えます。
デフォルトです。
了解です。
ローテートの問題じゃないようですね…
Zabbixエージェントのログをログレベル4にし取得不可になった時から上下十数分(少なくとも収集間隔の2倍以上)くらいログ取得できますか?
katsuyuki - 投稿数: 8
KAZさん
>取得不可と可能を繰り返しているのですよね?A(^^;
具体的にどこで間隔が確認できますでしょうか?
Web画面では取得不可になったままか、有効になったままかのいずれかのステータスに
しか見えないので、「デフォルトで取得不可」のような書き方をしました。
>Zabbixエージェントのログをログレベル4にし取得不可になった時から上下十数分(少なくとも収集間隔の2倍以上)くらいログ取得できますか?
できると思います。
ログのどこに注意して確認すればよいでしょうか?
ここに載せるのはサーバの性質上厳しいです。
よろしくお願い致します。
KAZ - 投稿数: 1085
katsuyukiさん
具体的にどこで間隔が確認できますでしょうか?
1)画面を目視
画面を数分置きに見て有効になったり取得不可になったり変わったりを確認
タイミング逃す事多そうなので余り有効じゃないかもしれません。
2)zabbix[items_unsupported]で監視
タイプ:Zabbixインタナル
キー:zabbix[items_unsupported]
で監視する。
この場合、取得不可なものすべてカウントするので、このアイテム以外で取得不可があるとわかりにくいかもしれません。
3)Zabbixエージェントのログを調べる。
ログレベル4で稼働させ取得可能/不可能をログを解析する。
ここに載せるのはサーバの性質上厳しいです。
そうですか、ログがあれば見ながらソースを追うのですが…
この状態でログのどこと言われても見ないとなんとも言えないかと…A(^^;
katsuyuki - 投稿数: 8
一晩かけて取得不可と有効になるタイミングを
>2)zabbix[items_unsupported]で監視
>タイプ:Zabbixインタナル
>キー:zabbix[items_unsupported]
>で監視する。
方法で実施致しました。
結果から言いますと、ログに新規に書き込みがあると有効化され、ログの取り込みが終了
すると取得不可に遷移するようです。
取得不可のままですと監視の意味をなさないですが、必要な時には有効化されているよう
なので、釈然とはしませんがしばらくは様子を見ようかと思います。