ログ監視やイベントログ監視において連続した場合、同一メッセージがメール通知される。
お世話になります。
初めて投稿させて頂きます。
ログ監視及びイベントログ監視において不可思議な現象が出ております。
皆様のお力をお借りできればと思います。
過去に投稿されている下記現象と同じでして、その際2.0で修正されると
言うことでしたが2.2.4で同一現象が発生しました。
============設定情報============
【環境】
OS:RHEL6.4
Zabbixサーバー:2.2.4
Zabbixエージェント:2.2.4 (サーバーと同じホスト)
>ログの場合
【アイテム設定】
タイプ : Zabbixエージェント(アクティブ)
キー : logrt[/var/log/messages,error|Error|ERROR]
更新間隔(秒) :180
ヒストリ保存期間:90
【トリガ設定】
条件式:{Template OS Linux:log[/var/log/messages,error|Error|ERROR].iregexp(error|Error|ERROR)}#0
障害イベントを継続して生成:チェック
深刻度:重度の障害
>イベントログの場合
【アイテム設定】
タイプ : Zabbixエージェント(アクティブ)
キー : eventlog[application]
更新間隔(秒) :180
ヒストリ保存期間:90
【トリガ設定】
条件式:{Template OS Windows:eventlog[application].logseverity(0)}=4
障害イベントを継続して生成:チェック
深刻度:重度の障害
【アクション設定】
トリガーの値 = 障害
============要件============
ログファイルに「Error」が出力されたらその行をメールで通知する。
10行連続で出たとしても10行分の異なる通知を行いたい。
(イベントログも同様)
============実行結果============
※[http://www.zabbix.jp/node/993]と同様の結果となります。
>テストログ出力
logger -p user.warn -t [TEST] "(Error)TEST Message No1"
logger -p user.warn -t [TEST] "(Error)TEST Message No2"
logger -p user.warn -t [TEST] "(Error)TEST Message No3"
logger -p user.warn -t [TEST] "(Error)TEST Message No4"
logger -p user.warn -t [TEST] "(Error)TEST Message No5"
logger -p user.warn -t [TEST] "(Error)TEST Message No6"
logger -p user.warn -t [TEST] "(Error)TEST Message No7"
logger -p user.warn -t [TEST] "(Error)TEST Message No8"
logger -p user.warn -t [TEST] "(Error)TEST Message No9"
logger -p user.warn -t [TEST] "(Error)TEST Message No10"
>/var/log/messagesの内容とヒストリの内容
Oct 21 13:51:31 <ホスト名> [TEST]: (Error)TEST Message No1
Oct 21 13:51:33 <ホスト名> [TEST]: (Error)TEST Message No2
Oct 21 13:51:36 <ホスト名> [TEST]: (Error)TEST Message No3
Oct 21 13:51:38 <ホスト名> [TEST]: (Error)TEST Message No4
Oct 21 13:51:41 <ホスト名> [TEST]: (Error)TEST Message No5
Oct 21 13:51:43 <ホスト名> [TEST]: (Error)TEST Message No6
Oct 21 13:51:45 <ホスト名> [TEST]: (Error)TEST Message No7
Oct 21 13:51:46 <ホスト名> [TEST]: (Error)TEST Message No8
Oct 21 13:51:49 <ホスト名> [TEST]: (Error)TEST Message No9
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10
>メール通知
Oct 21 13:51:31 <ホスト名> [TEST]: (Error)TEST Message No1
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo2
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo3
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo4
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo5
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo6
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo7
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo8
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10 ←本来であればNo9
Oct 21 13:51:50 <ホスト名> [TEST]: (Error)TEST Message No10
※イベントログに関しましてもeventcreateコマンドで連続出力した場合
同様な結果となりました。
2.0以降で本事象について改修されているのか否かご教授頂けましたら幸いです。
また、改修されているのであればアイテムやトリガの設定誤りについて
アドバイス頂けると助かります。
よろしくお願いいたします。
TNK - 投稿数: 4769
アクションで指定しているマクロを再度ご確認ください。
{ITEM.LASTVALUE}を使っていませんか?
LASTVALUEを利用していると最新値を取得しますので、恐らく、ア
クションの処理を実行した時点の最新値であるNo10がメールで送ら
れたのではないかと思われます。
トリガーに対応するアイテムの値を参照するのであれば、
{ITEM.VALUE}
を使ってみてください。
jungle_bowbow - 投稿数: 3
TNKさん
早速の回答有難う御座います。
確認してご連絡いたします。
jungle_bowbow - 投稿数: 3
TNKさん
ご指摘の通り{ITEM.LASTVALUE}をアクションで使用しておりました。
{ITEM.VALUE}に変更したところ期待通りの動作を確認しました。
1.8から2.2.4へ現行踏襲のVUPであったため見落としてしまいました。
1.8の時は仕様と思っておりました。
大変助かりました。
有難う御座いました。
TNK - 投稿数: 4769
1.8の時点では仕様です。
2.0から改善されて、極力トリガーで検知した際のアイテムの値を
参照できるよう改善されています。