イベントログの抑止方法について

いつもお世話になっております。

表題の件、ご教授頂きたくお願い致します。

環境情報 #################
Zabbix version:3.0.4
CentOS:7.2
#########################

イベントログの抑止方法に関してですが、
トピック「イベントログの除外条件式について」の方法以外(logseverity)で
何か方法はございますでしょうか。
実施したい内容に関しては上記フォーラムと同様で対象の”イベントID”・”ソース名”なら抑止
の設定を実施したいと考えております。

どのような方法があるのか教えていただけると幸いです。
よろしくお願い致します。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

「イベントログの除外条件式について」というのは以下のURLですね?
http://www.zabbix.jp/node/3681

ご質問の内容がよくわからないのですが、特定のイベントIDとソー
ス名での組み合わせでトリガーのイベントを発生させたくないとい
うことであれば、Zabbixでは、それらの条件を条件式に列挙するし
かないと思います。

条件の組み合わせが1つだけであるならば、例えば以下のような条
件式にしてみてはいかがでしょうか?

 除外したい条件:
  イベントIDが999、かつログソースにTESTが含まれる

 実装するトリガーの条件:(以下の条件なら障害とみなす)
  イベントIDが999、かつログソースがTESTではない
   または
  イベントIDが999ではない

この条件ならば、条件式は以下のような感じになると思います。

----- ここから -----
(
{<ホスト名>:eventlog[System].logeventid(999)}=1
and
{<ホスト名>:eventlog[System].logsource("TEST")}=0
)
or
(
{<ホスト名>:eventlog[System].logeventid(999)}=0
)
----- ここまで -----

ユーザー TORA_cs の写真

TNK様

ご返信ありがとうございます。
内容がわかりづらく申し訳ございません。
また、ご認識いただいた内容で差異はございません。

>「イベントログの除外条件式について」というのは以下のURLですね?
>http://www.zabbix.jp/node/3681

上記URLとなります。

>特定のイベントIDとソース名での組み合わせでトリガーのイベントを
>発生させたくないということであれば、Zabbixでは、それらの条件を
>条件式に列挙するしかないと思います。

条件式等の詳細なご説明ありがとうございます。
方法に関しては”条件式に列挙”との事、承知しました。

ありがとうございます。

ユーザー TORA_cs の写真

いつもお世話になっております。

再度の質問申し訳ございません。

上記TNK様からの解答の”イベントログの除外(条件式に列挙)”
で実施した際は、文字数の制限などございますでしょうか。

質問の意図としては、条件式に記載できないほど長くなる(例:約100件の除外したい条件)
場合は、どのようにすれば良いでしょうか。

よろしくお願い致します。

ユーザー TNK の写真

既に広瀬さんに回答を書いて頂いたので、差分だけ補足させて頂き
ます。

正規表現を利用して集約できるような条件であるならば、正規表現
も利用した方が良いでしょう。

それでも条件が増えてきた場合は、アイテムの設定のeventlog[]
の引数で、条件やパターンを指定してアイテム自体を分割し、さらに、
それに対してトリガーを設定するようにすれば、1つのトリガーの
条件式に記述する内容を分割することはできるかもしれません。

あと、先に書いた条件式は、見やすくするために改行をいれて記述
しただけで、改行して記述しなければならないということではあり
ません。

広瀬です

トリガー条件式内ですが、内部格納は関連、連携するID値を割り当てます。

{61296}=0 and {61297}=0

上記の数値はfunctionidです。対象のID値、演算子、および演算記号、スペース、改行などの上記の総延長が2048文字までが
制限事項となります。尚、logsource/logeventidに指定できる文字列長は最大255文字までです。

ただし、ビルトインマクロ、ユーザマクロはID化されずにそのままカラムに保持されるので、上記の2048文字の上限が短くなります
尚、and/or演算子でlogsourceなどを連結するよりも除外したい項目を正規表現フィルターで除外してしまえば、@expressionで済
むので文字列長を気にする必要は無いのでは?

広瀬です

私も初めて気づいたので追伸しておきます

トリガー条件式内で改行を使うと、CR+LF扱いになる模様なので、格納文字列は『\r\n』となります。
なので、通常のOS上のテキストファイルのようにLF形式では無いため、余計に文字列を消費します。

100件も連続AND/OR演算にぶち込むと改行しないと見づらいトリガー条件式となるため、改行したく
なりますが、それがアダとなることもありますので、正規表現フィルターを使わない、若しくは使えない
場合には配慮されることをお勧めします。

広瀬です

正規表現フィルター側も1個当たり、255文字の上限があるので、

^(AA|BB|CC|DD)$

のような書き方をした場合、「|」で区切る1つ辺りの文字数にも注意してください

ユーザー TORA_cs の写真

広瀬様 TNK様

ご返信および詳細なご説明ありがとうございます。

いただきました情報を参考に、複数の正規表現フィルターを作成し、
トリガーの条件式内に記載する形で検証を実施させていただきます。

ありがとうございました。