イベントログの抑止方法について
いつもお世話になっております。
表題の件、ご教授頂きたくお願い致します。
環境情報 #################
Zabbix version:3.0.4
CentOS:7.2
#########################
イベントログの抑止方法に関してですが、
トピック「イベントログの除外条件式について」の方法以外(logseverity)で
何か方法はございますでしょうか。
実施したい内容に関しては上記フォーラムと同様で対象の”イベントID”・”ソース名”なら抑止
の設定を実施したいと考えております。
どのような方法があるのか教えていただけると幸いです。
よろしくお願い致します。
TNK - 投稿数: 4754
「イベントログの除外条件式について」というのは以下のURLですね?
http://www.zabbix.jp/node/3681
ご質問の内容がよくわからないのですが、特定のイベントIDとソー
ス名での組み合わせでトリガーのイベントを発生させたくないとい
うことであれば、Zabbixでは、それらの条件を条件式に列挙するし
かないと思います。
条件の組み合わせが1つだけであるならば、例えば以下のような条
件式にしてみてはいかがでしょうか?
除外したい条件:
イベントIDが999、かつログソースにTESTが含まれる
実装するトリガーの条件:(以下の条件なら障害とみなす)
イベントIDが999、かつログソースがTESTではない
または
イベントIDが999ではない
この条件ならば、条件式は以下のような感じになると思います。
----- ここから -----
(
{<ホスト名>:eventlog[System].logeventid(999)}=1
and
{<ホスト名>:eventlog[System].logsource("TEST")}=0
)
or
(
{<ホスト名>:eventlog[System].logeventid(999)}=0
)
----- ここまで -----
TORA_cs - 投稿数: 16
TNK様
ご返信ありがとうございます。
内容がわかりづらく申し訳ございません。
また、ご認識いただいた内容で差異はございません。
>「イベントログの除外条件式について」というのは以下のURLですね?
>http://www.zabbix.jp/node/3681
上記URLとなります。
>特定のイベントIDとソース名での組み合わせでトリガーのイベントを
>発生させたくないということであれば、Zabbixでは、それらの条件を
>条件式に列挙するしかないと思います。
条件式等の詳細なご説明ありがとうございます。
方法に関しては”条件式に列挙”との事、承知しました。
ありがとうございます。
TORA_cs - 投稿数: 16
いつもお世話になっております。
再度の質問申し訳ございません。
上記TNK様からの解答の”イベントログの除外(条件式に列挙)”
で実施した際は、文字数の制限などございますでしょうか。
質問の意図としては、条件式に記載できないほど長くなる(例:約100件の除外したい条件)
場合は、どのようにすれば良いでしょうか。
よろしくお願い致します。
TNK - 投稿数: 4754
既に広瀬さんに回答を書いて頂いたので、差分だけ補足させて頂き
ます。
正規表現を利用して集約できるような条件であるならば、正規表現
も利用した方が良いでしょう。
それでも条件が増えてきた場合は、アイテムの設定のeventlog[]
の引数で、条件やパターンを指定してアイテム自体を分割し、さらに、
それに対してトリガーを設定するようにすれば、1つのトリガーの
条件式に記述する内容を分割することはできるかもしれません。
あと、先に書いた条件式は、見やすくするために改行をいれて記述
しただけで、改行して記述しなければならないということではあり
ません。
wakaba - 投稿数: 228
広瀬です
トリガー条件式内ですが、内部格納は関連、連携するID値を割り当てます。
{61296}=0 and {61297}=0
上記の数値はfunctionidです。対象のID値、演算子、および演算記号、スペース、改行などの上記の総延長が2048文字までが
制限事項となります。尚、logsource/logeventidに指定できる文字列長は最大255文字までです。
ただし、ビルトインマクロ、ユーザマクロはID化されずにそのままカラムに保持されるので、上記の2048文字の上限が短くなります
尚、and/or演算子でlogsourceなどを連結するよりも除外したい項目を正規表現フィルターで除外してしまえば、@expressionで済
むので文字列長を気にする必要は無いのでは?
wakaba - 投稿数: 228
広瀬です
私も初めて気づいたので追伸しておきます
トリガー条件式内で改行を使うと、CR+LF扱いになる模様なので、格納文字列は『\r\n』となります。
なので、通常のOS上のテキストファイルのようにLF形式では無いため、余計に文字列を消費します。
100件も連続AND/OR演算にぶち込むと改行しないと見づらいトリガー条件式となるため、改行したく
なりますが、それがアダとなることもありますので、正規表現フィルターを使わない、若しくは使えない
場合には配慮されることをお勧めします。
wakaba - 投稿数: 228
広瀬です
正規表現フィルター側も1個当たり、255文字の上限があるので、
^(AA|BB|CC|DD)$
のような書き方をした場合、「|」で区切る1つ辺りの文字数にも注意してください
TORA_cs - 投稿数: 16
広瀬様 TNK様
ご返信および詳細なご説明ありがとうございます。
いただきました情報を参考に、複数の正規表現フィルターを作成し、
トリガーの条件式内に記載する形で検証を実施させていただきます。
ありがとうございました。