zabbix3.0でイベントログ監視
zabbix1.8で以下の設定でイベントログ監視を行っております。
トリガー条件式で以下の設定はどういう意味なのかお教えください。
logseverity(4)}=4
logeventid(10|45|4107|10032|12289|12293|17204|17207|24583)}<>1
【設定】=====================================================================
アプリケーション名:Windows_Logs
アイテム名:Application Log
キー名:eventlog[Application]
トリガー名:Application Log ERROR on {HOSTNAME}
トリガー条件式:({Template_Windows Logging:eventlog[Application].logseverity(4)}=4) and ({Template_Windows Logging:eventlog[Application].logeventid(10|45|4107|10032|12289|12293|17204|17207|24583)}<>1)
==========================================================================
zabbix-test - 投稿数: 5
【追記】
zabbix-agent側で、eventcreateコマンドでアプリケーションエラー(イベントID10)でテストメッセージを
出力したのですが、zabbix-managerで検知しません。
eventcreate /id 10 /L application /SO test /T ERROR /D "イベントログのテストです"
logeventidとはイベントIDと思い込んでいたのですが。。。ご教授ください。
TNK - 投稿数: 4769
マニュアルをご確認ください。
https://www.zabbix.com/documentation/2.2/jp/manual/appendix/triggers/fun...
logseverity()の引数は無視されるようです。
恐らく、「logseverity(4)=4」というのは、イベントログのログの
レベル(深刻度)が「エラー」であることを条件としたかったのだと
思われます。
logeventid()の方は、「|」は「または」の意味になるので、列挙
した値にイベントIDが一致しないということを条件としたかったの
でしょう。
上記の条件式では、条件に合致しないと思われます。
zabbix-test - 投稿数: 5
TNKさん
分かり易いご回答有難うございました。
logeventid(10|45|4107|10032|12289|12293|17204|17207|24583)}<>1
で指定したイベントID以外でエラーが出力された場合に
エラー検知するという意味だったんですね。
eventcreateコマンドでアプリケーションエラー(イベントID11)にして
テストメッセージを出力したところ、zabbix-managerで検知しました。