ITEM.VALUEが想定の挙動をしない。

はじめまして、
今回どうしても解決が出来ない件があり、何か情報が有ればと思い投稿させて頂きました。

ログ監視の対象ファイルに3件以上のエラー文言が出力される時、
アラートメールの2件目以降同じ内容になってしまいます。

 最新データで取得したアラートメールの対象行
  error #1
  error #2
  error #3

 アラートメールで送られてくる本文の内容(対象行のみ)
  1件目:error #1
  2件目:error #2
  3件目:error #2 ← 想定では#3のはず

アラートメールにはキックされた値を{ITEM.VALUE}で出力したいのですが、
3件目以降が先ほどの例の様になってしまいます。

何か情報がございましたらご教授いただけないでしょうか。

■環境
・バージョン:Zabbix 2.2.11
・OS    :CentOS release 6.7

■アイテム
===========================================================
 タイプ :Zabbixエージェント(アクティブ)
 キー  :logrt["監視対象ファイルのフルパス",@正規表現]
 データ型:ログ
 更新間隔:30
===========================================================

■トリガー
===========================================================
 条件式:logrt["監視対象ファイルのフルパス",@正規表現].iregexp(@正規表現)}#0 & (logrt["監視対象ファイルのフルパス",@正規表現].nodata(30)})=0
 警告イベントを継続して生成:チェック
===========================================================

■アクション
アクション
 ===========================================================
 デフォルトメッセージ:

  ZABBIXで監視サーバの障害イベントを検知致しました。
  
  対象ホスト名:{HOSTNAME}
  対象ホストIP:{IPADDRESS}
  
  イベント検知時間:{EVENT.DATE} {EVENT.TIME}
  トリガー:{TRIGGER.NAME}
  ステータス:{ITEM.VALUE}
 ===========================================================

アクションの実行条件
 ===========================================================
  (A) テンプレート = 監視対象のサーバーが含まれるテンプレート
  (B) トリガーの値 = 障害
  (C) トリガーの深刻度 = アイテムで設定した深刻度
 ===========================================================

以上、ご確認宜しくお願い致します。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

トリガーの条件式のnodata()を利用した条件式を外して、iregexp()
の条件のみにしてみてください。

ユーザー irie shun の写真

>TNKさん
返信ありがとうございます。
結果としては変更前と同じで想定の動きが出来ませんでした。

確認方法は以下になります。
1.以下のトリガーの条件式に変更
 logrt["監視対象ファイルのフルパス",@正規表現].iregexp(@正規表現)}#0
2.cat 「エラー文言が複数行書かれたファイル」 >> 「対象ファイル」でエラー発生
3.メール本文の確認

試しに別環境にZabbixを入れて試したところ、
そちらの環境では上記設定で想定通りの動きをしていました。
相談させて頂いている環境との違いは以下になります。
 ・自分自身を監視
 ・バージョンが2.2.12(マイナーバージョンなので違いが無いと信じたい)

以上、ご確認宜しくお願い致します。

ユーザー TNK の写真

そのようなログの追記での問題であれば、2.2.12で修正された以下
の不具合の影響かもしれません。

 ZBX-10342 {ITEM.VALUE1} was referring to the old data:
   https://support.zabbix.com/browse/ZBX-10342
 Zabbix 2.2.12リリースノート:
   http://www.zabbix.com/jp/rn2.2.12.php

マイナーバージョンでも、これまでもログ監視系は特に大幅な変更
が入っていますので、バージョンアップすることで改善される現象
があります。

2.2.12へのバージョンアップをご検討ください。

ユーザー irie shun の写真

>TNK様
情報ありがとうございます。
しかし、本件は2.2.11の問題ではないようです。

Zabbix2.2.12が入っていた環境を一度yum removeでアンインストールして
新たにバージョンを指定して2.2.11をインストールし直して2件目以降同じ本文であることを確認しようとしたところ、
残念ながら2件目以降も異なる値を表示しており、本来想定している動きになっておりました。

再度本現象が起きているZabbixと今回入れなおしたZabbixの差異を調査したいと思います。

設定以外でも「ITEM.VALUE」の挙動がおかしくなるといった情報がございましたら、
教えていただいてもよろしいでしょうか。

以上、宜しくお願い致します。

ユーザー TNK の写真

ご紹介した不具合の発生する条件がZabbixサーバーのキャッシュや
Zabbixエージェントから通知されたタイムスタンプとの組み合わせ
で発生する問題のようですので、2.2.11のままであれば、短時間に
条件に合致するログが大量に発生した場合に再度問題が発生してし
まう可能性があると思います。

ご注意ください。

ユーザー irie shun の写真

別環境でこの現象を発生させるのは難しいようです。

以下の条件のテストを行い同様の現象が発生しなかったことを確認致しました。
テスト
 1.「対象文字列 + #N」 の形式で#200までのエラー行を記述したファイルを作成。
  ※問題が発生している環境では同時に16件の対象キーワードが含まれている条件で発生していたのでその10倍以上でテスト 
 2.1で作成したファイルを対象ファイルに追記
結果
 ITEM.VALUEが全て異なる値を取得し、アラートメールの本文に記載していることを確認
 最新データのタイムスタンプには同一時刻に200件の全てのデータが格納されていることを確認。

何が正なのかだんだん混乱してまいりました。

他のZabbix 2.2.11でも同様の現象が必ず発生するのか、
その際にはどのような条件で発生するか教えて頂くことは可能でしょうか。

以上、ご確認宜しくお願い致します。