ログ監視時のトリガーについて
こんにちは。
Windowsのイベントログを監視をしようとしているのですが、うまくいきません。
やりたいことは、一定以上の深刻度のログのメール通知なのですが、
イベントは、トリガーのステータスが変化した時にしか発生しないようで、一定以上の深刻度のログが連続で発生すると、最初のログ以外はイベントが発生せずに、アクションが実行されません。
トリガーの条件式を満たした場合に、毎回イベントを発生させることはできないのでしょうか?
下記のような設定をしています。
サーバ: Debian 5.0
ZABBIXバージョン: 1.4.6
アイテム
タイプ: ZABBIXエージェント(アクティブ)
キー: eventlog[system]
データ型: ログ
トリガー
({foo:eventlog[system].logseverity()}>2)
アクション
イベントソース: トリガー
コンディション: 上記トリガー
オペレーション: メッセージ送信
KAZ - 投稿数: 1085
lambさん
フォーラムで何回か話題になっていると思います。
zabbix-jpのコンテンツは画面右上の検索で検索可能です。
これはトリガー条件にnodata関数を組み合わせてやればできると思います。
<code>
({foo:eventlog[system].nodata(監視間隔)=0)&({foo:eventlog[system].logseverity()}>2)
</code>
nodata関数で、監視間隔以内にデータが帰ってこなかったら正常になる様にすればOKです。
実は私もこのトリガー組み合わせを見つけるまでかなり試行錯誤しました。(笑)
lamb - 投稿数: 3
検索は、いくつか試してみたのですが、nodata関数までたどり着けていませんでした。
nodata関数の使い方まで教えてくださってありがとうございます!
一秒間に複数のイベントログが出力された場合などは、個別にイベントを発生されることはできないみたいですが、そこは別の手段を併用しようと思います。
ありがとうございました。
kodai - 投稿数: 1341
こんにちは。
ご参考までにですが、1.6系ではトリガーの設定に「ノーマル+障害イベントを継続して生成」という設定項目が増えていまして、ログの監視時にエラー行ごとにイベントを発生させることができるようになっています。
ZABBIX-JPの1.6のRPMリリースはもう少々お待ちください :-D
lamb - 投稿数: 3
こんにちは。
貴重な情報をありがとうございます!
1.6系もチェックしてみます。
トリガーに、({TRIGGER.VALUE}=0)を追加して、短時間に連続してトリガー条件を満たすログが発生しても1個おきにはイベントが発生するよう?にして実験をしていました。