ログ監視の再検知について
いつも勉強させていただいています。
ログ監視の一部で過去に検知したログを再検知してしまう事象が発生しています。
①発生当時に行った作業
・ログローテーションに対応するためlog⇒logrtに変更した後から発生しています。
・「/var/log/messages」はローテーション後に圧縮される設定だったので「/etc/logrotate.d/syslog」にdelaycompressを追加し、
ローテーション後の1世代目は圧縮されないように設定しました。
設定したタイミングはアイテムキーをlogrtに変更したときに作業をしました。
②アイテムキー
logrt["/var/log/(messages$|messages-[0-9]{8,8}$)",error]
監視したいログは「/var/log/messages」と「/var/log/messages-yyyyMMdd」です。
③発生状況
ログローテーションが毎日16時に行われ、
そのタイミングでログに「error」の出力が入った過去のログが全て収集されてしまいます。
10/5のタイムスタンプで一番古いログが7/30の日付まで収集しています。(このアイテムを設定したのが7/30頃だったと思います)
情報が少なくて申し訳ございませんが考えられる原因等ありましたらご教示御願いいたします。
RYT - 投稿数: 52
バージョンの情報を載せていなかったので記載します。
zabbixバージョン2.4.7
サーバーOSCentOS release 6.7 (Final)
mocha - 投稿数: 28
全然違うかもしれませんが もしかしたらということで
ログのローテート方法によっては Zabbix Agentが同じ内容のログファイルを2つ見つける可能性があります
copytruncateしてないか確認するとよいかもしれません
RYT - 投稿数: 52
mocha様
返信をいただきありがとうございます。
以下ファイルを確認したところ「copytruncate」設定はありませんでした。
【確認したファイル】
/etc/logrotate.conf
/etc/logrotate.d/syslog
mocha - 投稿数: 28
となると ちょっとわたしの知ってる範囲で思い当たる原因はないですね・・・
zabbix serverにdebuglogをしかけて ログローテートしている時間帯のlogrt[]の挙動を追うと
なにか見えてくるかもしれません