windowsサーバ(agent)のイベントログ監視
windowsイベントログ監視をするため、以下設定をしたのですが、
windowsイベントログにはその時間帯にエラーが発生していないのに、メールは大量に通知されます。
(過去には同じイベントIDでWindowsのイベントログには残っています)
zabbixのイベントログ監視は、ホストの設定してからではなく過去全てのサーバのエラーメッセージを対象とするのでしょうか?
★zabbixサーバ側の設定(テスト用の設定)
【アイテム】
タイプ:Zabbixエージェント(アクティブ)
キー:eventlog[Application,,"ERROR"]
更新間隔:30
保存期間:90
【トリガー】
条件式:{CAT:eventlog[Application,,"ERROR"].logseverity()}>1
障害イベントを継続して生成にチェック
TNK - 投稿数: 4769
ホストとして登録した最初には、
eventlog[Application,,"Error"]
というアイテムのキーが指定されているのであれば、Windows上に
保存されているアプリケーションのイベントログの最初からすべて
チェックをして、severityが"Error"のものすべての値がアイテム
の値として取得されます。
Zabbixエージェントを起動してからのもののみを対象とされたいの
であれば、eventlog[]の引数のmodeに「skip」を指定してみてくだ
さい。
https://www.zabbix.com/documentation/2.2/jp/manual/config/items/itemtype...
例えば、元のアイテムのキーが私が上に書いたものであるならば、
eventlog[Application,,"Error",,,,skip]
と指定してみてください。
ただし、このオプションを追加するとZabbixエージェントを起動し
ていなかった時間帯のイベントログは取得できませんので、一時的
にZabbixエージェントを停止するような運用をされている場合、そ
の間のイベントログを対象とした障害の記録や監視を行うことがで
きませんのでご注意ください。
hangyoun - 投稿数: 8
ご連絡ありがとうございます。
なるほど、その設定を入れて試してみたいと思います。
また、今回のテストで過去分全てのエラーメッセージを対象としたため
メールが大量にメールサーバに送られています。
一時的にzabbix serverを停止するとメールの送信が止まるのですが、
再開するとキューにたまっているのか、また大量のメールが送信されます。
(zabbixのagentは停止しています)
キューにたまっているメール?を削除する方法等ありましたら、ご教授お願いします。
TNK - 投稿数: 4769
データベース上のデータの情報と処理の進み具合にもよるかもしれ
ませんが、メール送信をスクリプトを介して実行しているのであれ
ば、一時的に破棄するようなスクリプトに置き換えるか、あまりお
勧めはできないのですが、以下の投稿を参考にしてデータベース上
のalertsテーブル上のデータのstatusを直接変更する方法も考えら
れるかと思います。
ご参考:アラートメールの破棄について
http://www.zabbix.jp/node/1586
hangyoun - 投稿数: 8
リンクの投稿を参考に、アラートメールを破棄することができました。
ありがとうございます。
先程教えていただいたzabbixのagentが起動してからのみのログを抽出対象にする件ですが、
日付指定で実施することは可能でしょうか?
イメージとしては、2015/1/16日以降の全てのエラーメッセージ(agent停止している間もログを取得)
(※それ以前のログは通知対象としない)
もしくは、ホスト登録後からのエラーメッセージ(agent停止している間もログを取得)
TNK - 投稿数: 4769
通常の操作で日付を指定して以降のログを取得するということは
できません。
監視を始める際に、過去のイベントログを削除してしまうことが許
されるのであれば、監視を開始する前に古いイベントログを削除し
てしまってからホストやアイテムを登録して監視を開始すれば、そ
の時点以降ということを実現することはできます。
その場合は、skipを指定しないでください。