Windowsのイベントログ監視について

こんにちわ

Windowsのイベントログを監視したいと考えております。
ファイル監視と同様にアイテム作成時に eventlog[]のタイプを「ZABBIXエージェント(アクティブ)」としますと、トリガ作成時にステータスがずっと「不明」となります。
タイプを「ZABBIXエージェント」にするとステータスは「正常」になります。

イベントログはアクティブチェックすることはできないのでしょうか?

サーバ:RedHatLinux4.5
Zabbixバージョン:1.6.5

(アイテム)
タイプ:ZABBIXエージェント(アクティブ)
キー:eventlog[system,,cp932]
データ型:ログ

(トリガ)
{%HOST%:eventlog[system].logseverity()}=4

以上 宜しく御願い致します。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー kodai の写真

こんにちは。

いくつかポイントがあるのですが、

まず、イベントログはアクティブチェックでしか監視できません。アイテムのタイプを「ZABBIXエージェント」にした場合は、正常にアイテムを収集できていないと思います。アイテムの収集データの状態はどのようになっているでしょうか?

次に、標準のZABBIXではeventlog[]にはイベントログ名しか指定できず、cp932などエンコードを指定するオプションは用意されていません。ソフトウェアをカスタマイズされているのであれば、申し訳ないのですがその点はこちらではサポートが難しいです。

ちなみに、ZABBIX-JPでは日本語のイベントログに対応した1.4系と1.6系のリリースをまもなく行う予定にしていますので、そちらもご参考頂ければと思います。

最後はトリガーの設定方法です。トリガーの条件式のeventlog[system]の部分はオプションも含めてアイテムのキーと全く同じ設定にする必要があります。アイテムのキーをeventlog[system,,932]に設定されているのであれば、トリガーの条件式も同じ設定にする必要があります。

ユーザー stifc の写真

返信が大変遅くなりまして誠に申し訳御座いません。

>アイテムの収集データの状態はどのようになっているでしょうか?
「Accessible only as active check!」という表示が出力されており、ご指摘のとおりアクティブチェックにする必要があるようです。

cp932等の記述はWEB検索に掛かった情報を基に試してみたものです。カスタマイズはしておりませんので、下記設定にしたところトリガがエラーを検知することに成功しました。有難う御座いました。

(アイテム)
タイプ:ZABBIXエージェント(アクティブ)
キー:eventlog[system]
データ型:ログ

(トリガ)
{%HOST%:eventlog[system].logseverity()}=4

しかし、更新間隔内でエラーとエラー以外のログが出た場合、検知してくれないようです。ファイル監視と同様にトリガに xxxx.nodata(秒数) を使用することはできないのでしょうか?

ユーザー kodai の写真

ログの監視は複数行が一度に送付されてくるので、その間でエラーを受信した場合一瞬だけエラーを検知して、次の行が正常な場合はすぐに正常のステータスになってしまいます。

イベントログの場合を確認したわけではないのですが、更新間隔内でエラーを受信した場合に、トリガーのステータス画面([監視データ]->[トリガー])では正常であっても、イベント画面([監視データ]->[イベント])では障害が検知されている、ということはないでしょうか。