イベントログの除外条件式について
いつもお世話になっております。
表題の件、ご教授頂きたくお願い致します。
ZabbixVer:3.0.3
OS :CentOS6.6
現行、以下のアイテムとトリガーを設置しております。
---------------------------------------------------------------------------------------
■現行設定
アイテム:eventlog[System,,,,,,skip]
トリガー:{HOST:eventlog[System,,,,,,skip].logseverity()}=2
※イベントログのSystemを全て取得して、Warning全てを障害とする
---------------------------------------------------------------------------------------
その後、上記の現行設定より、以下のイベントログに関してはトリガーより除外して欲しい旨を受けました。
---------------------------------------------------------------------------------------
■除外するイベントログ条件
イベントID:999
ログソース:TEST
※イベントIDが999で、ログソースがTESTのものは除外
---------------------------------------------------------------------------------------
これをトリガー条件式に盛り込もうとしているのですが、
上手く動作しませんでした。
-----------------------------------------------------------------------------------
■考えたトリガー条件式
{HOST:eventlog[System,,,,,,skip].logseverity()}=2
and
(
{HOST:eventlog[System,,,,,,skip].logeventid(999)}=1
and
{HOST:eventlog[System,,,,,,skip].logsource("TEST")}=1) <>1
)
※Warningかつ、
(イベントログ999かつログソースTESTではないもの)
…と書いたつもりです。
-----------------------------------------------------------------------------------
条件式ビルダーで確認する限りは要望通りの動きになっていそうなのですが、
実際にテストすると、イベントログ999かつログソースTESTも障害となってしまいます。
全然違うやんけ!といったところがあればご指摘を宜しくお願い致します。
mocha - 投稿数: 28
単純に logeventidとlogsourceの結果を=0 で評価し andで結合すればよいような気がしますが どうでしょう?
kaeru - 投稿数: 263
>>mocha様
ご回答ありがとうございます。
頂いた内容を元に以下へ修正しましたが、
上手く動作しませんでした。(見当違いでしたら申し訳ありません)
-------------------------------------------
{HOST:eventlog[System,,,,,,skip].logseverity()}=2
and
(
{HOST:eventlog[System,,,,,,skip].logeventid(999)}=1
and
{HOST:eventlog[System,,,,,,skip].logsource("TEST")}=1)
) =0
-------------------------------------------
式がごちゃごちゃしてきたため、
アイテムでWarningを絞ったうえで、全体的に誤っていないか一度確認します。
mocha - 投稿数: 28
ごめんなさい 意味合いをちょっと間違えてとらえてました
トリガの条件式は 「イベントを発報する」条件を指定するものなので 発報させたいのはSource=TESTではないか
ID=999ではないか または両方とも違うかのどれか ということだと思います
ということは
logseverity()=2 and ( logeventid(999) =0 or logsource("TEST") = 0 )
相当の式が 実際に実現したい動きになると思います
kaeru - 投稿数: 263
>mocha様
申し訳ありません。
今更回答して頂いたことに気付きました。
条件式ビルダーで確認したところ、求めていた動きです。
ご回答、誠にありがとうございました。