10分間に2件以上ログが出たら障害判定のやり方

いつも参考にさせていただいております。

今回、お客様から題名の通り、10分間に2件以上ログが出たら障害判定をしてほしいと依頼がありました。
そしてログの出力方法が「同じ時間帯に1件または複数のログが出る」とのことです。

私は「トリガー関数のcountで10分間に2件以上検出したら障害判定することができますよ」と提案したら
「同じ時間帯に何件ログが出るかわからないので、その条件だと1回の時間帯で条件を満たしてしま可能性があります。」とのことです。

まとめると、やりたいログ検出方法は以下となります。
①同じ時間帯に出力したログを1件とする(同じ時間帯に1件から複数件出力があるため)
②違う時間帯のログが10分間に2件以上出力された場合、障害とする

この条件でログ監視はできるでしょうか?
ご教授よろしく御願いいたします。

-------------サーバー情報(zabbix共通)-------------
zabbixバージョン2.4.7
サーバーOSCentOS release 6.7 (Final)
----------------------------------------------------

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

syslogのようにログが次々と追記される場合、同じ時間帯に発生し
たログであることを確認する方法がないので、同じ時間帯に発生し
た複数のログを1件とカウントすることは無理だと思います。

どうしても1件のログに集約できないのであれば、正規表現などで、
フィルタリングして、それぞれの障害発生タイミングで、Zabbix
が1件とカウントできるようにする工夫が必要になるのではないで
しょうか。

ご検討ください。

ユーザー RYT の写真

TNK様

返信が遅くなり申し訳ありません。

>どうしても1件のログに集約できないのであれば、正規表現などで、
>フィルタリングして、それぞれの障害発生タイミングで、Zabbix
>が1件とカウントできるようにする工夫が必要になるのではないで
>しょうか。
検討したいと思います。

以上、返答いただきありがとうございました。