イベントログ監視で取得する値が実際のサーバ上のログと異なる。
Zabbix1.8.5を使用しています。
Windows2008R2のサーバに対して、イベントログ監視を行っているのですが、サーバ上で
実際に出力されているログ内容とZabbixで通知されてくる内容が異なっている事象が
発生しています。
何か考えられる要因はありますでしょうか。
アイテム
eventlog[Application,@XXXXX,,,]
アプリケーションログを監視しています。
Zabbixでは以下の検知をしていることになっています。
「ワークステーション サービスが矛盾している状態です。ワークステーション サービスを再度開始する前に
コンピューターを再起動してください。」
サーバ上で出力されているメッセージは以下になります。
「ソース:Microsoft-SharePoint Products-SharePoint Foundation
イベントID:2137
"SharePoint Health Analyzer により、エラーが検出されました。送信電子メールが構成されていません。
既定の SMTP サーバーが構成されていません。1 つ以上の Web アプリケーションで、SMTP サーバーが
構成されていません。したがって、警告などの機能が適切に動作しません。
サーバーの全体管理サイトから送信メール サーバーを構成するか、次のコマンドを実行します:
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\bin\stsadm.exe-o
email -outsmtpserver -fromaddress -replytoaddress
-codepage このルールの詳細については、
""http://go.microsoft.com/fwlink/?LinkID=142684"" を参照してください。」
Zabbixで検知したことになっているメッセージを検索すると、
http://kb.prismmicrosys.com/evtpass/evtPages/EventId_2137_System_43682.asp
システムログでイベントID:2137のメッセージのようです。
イベントIDまではあっているが、メッセージ内容が異なる状態になっています。
TNK - 投稿数: 4769
具体的な不具合のIDまで再確認はできませんでしたが、昔、正常なメッセージを
取得できなかった不具合があったと思いますので、より新しいバージョンのZabbix
に更新してみてください。
1.8系の最新版は、1.8.21です。
なお、1.8系は、来月末を持って修正版がリリースされなくなりますので、
早急に新しいバージョンへのバージョンアップをご検討ください。
ご参考:サポート期間とリリースポリシー
http://www.zabbix.com/jp/life_cycle_and_release_policy.php
tomi12120321 - 投稿数: 113
連絡が遅くなりまして申し訳ありません。
ご回答ありがとうございます。
ちなみにこれはサーバ側、エージェント側両方共にバージョンアップを
した方がよろしいでしょうか。
それともサーバ側のみでもよろしいでしょうか。
追加で確認させてください。
サーバ側で2.X系にバージョンアップをした場合、エージェント側の1.8系は
バージョンアップする必要はありますでしょうか。
※1.8で実施している監視ができていれば問題ありません。
TNK - 投稿数: 4769
WindowsのAPIを呼び出してメッセージを取得する部分での不具合で
あると思われますので、エージェント側のバージョンアップが必須
でしょう。
ただし、基本的には、サーバ側のバージョンの方が新しい組み合わ
せでの構成が推奨されていたと思いますので、エージェント側だけ
のバージョンアップはお勧めしません。
サーバ側をバージョンアップして、その後、エージェント側をバー
ジョンアップするという手順での移行をご検討ください。
1.8のエージェントの機能に限定するのであれば、サーバ側が2.x系
でエージェント側が1.8系という組み合わせも動いたはずです。
# 実際に詳細な検証を行ったわけではありません。
注意点としては、過去のデータを引き継いでサーバ側のバージョン
アップを行う場合、1.8系からですと、一度、2.0系のデータベース
への変換処理が必要になります。
この変換処理は、特に過去のアイテムのデータの数が多い場合、変
換処理に長時間かかることが予想されます。
変換にかかる時間は、変換しなければならないデータのサイズや、
その処理を行うサーバの性能にも依存します。
規模によっては、数時間以上の時間がかかる場合があるため、その
サーバしかない場合は、変換処理を行っている間はZabbixを稼働で
きませんので監視を行うことができないこととなります。
どうしても監視を継続してバージョンアップを行われたいのであれ
ば、別途、新しいバージョンのZabbixサーバ用のサーバ機を用意し
て平行運用することもご検討ください。
くれぐれも、作業される際には、万が一のことも考慮して、きちん
とバックアップを取得されてから作業開始することをお忘れなく。
zinten - 投稿数: 69
この間似たようなことがあったので不具合をあげました。
イベントログのメッセージをMessageDLLから取得する際にエラーがあると
システムのエラーメッセージに勝手に変換されてしまうバグです。
https://support.zabbix.com/browse/ZBX-8595
1.8.22rc1, 2.0.14rc1, 2.2.7rc1, 2.4.1rc1で修正されてます。
何でMessageDLLから取得する際にエラーになるの?というと
1.8.x、2.0.xではWindowsServer2008からの新しいeventlogのバージョンに対応しておらず
一部のDLLのメッセージの変換に失敗します。
新しいイベントログに対応している2.2.xを使用することでこの問題を回避できます。
https://support.zabbix.com/browse/ZBX-8723
こいつは絶賛放置中!
2.2なら大丈夫だから修正されないかも。。。
tomi12120321 - 投稿数: 113
ご回答ありがとうございます。
また連絡が遅れて大変申し訳ありません。
2.2系に上げようと思います。
TNK様からのご回答にある通り、色々リスクがあると思いますので
2.2系のサーバを別途構築→監視設定移行で対応を進めようと思います。