ログ監視に関する質問
OS:CentOS 7.2
Zabbix Server: 3.0.7
ログ監視に関する質問をさせていただきます。
① 監視しているメッセージを「障害」と検知してから「正常」となるまでのタイミングについて
② 監視しているメッセージが複数回ログに記録された場合、ログに記録された回数分検知せずに、
該当メッセージが初めてログに記録されてから継続して「障害」と検知している
上述①については、「正常」となるタイミングをご教示いただきますでしょうか。
また、②につきましては、①のタイミング次第では該当メッセージを記録した回数分検知すると思いますが、
初回検知メッセージが継続して「障害」と検知しないよう対処するにはどのように設定すれば良いでしょうか。
例としましては、以下トリガーの設定をしており、messagesに(err|crit|alert|emerg)を含む場合、「障害」と検知する設定をしております。
「障害」と検知してから「正常」となるまでの間にcrtit等がmessagesに書き込まれた場合、新規の障害として検知されません。
<トリガー内容>
条件:{ホスト名:キー.iregexp(err|crit|alert|emerg)}=1
以上、よろしくお願いいたします。
TNK - 投稿数: 4671
トリガーで明示的に正常となる条件を指定しない限り、トリガーの
状態が自動的には「障害」から「正常」に変化しません。
nodata()などと組み合わせて設定する方法もありますが、使用に
は注意が必要です。
過去の問い合わせで何度も回答しているので、nodata()などをキー
ワードに探してみてください。
障害とみなすログが出力されるたびにアクションで通知を行いたい
のであれば、トリガーの設定で、
障害イベントを継続して生成
にチェックするようにしてください。
dondoc - 投稿数: 86
ご回答いただき、ありがとうございます。
自動的に「障害」から「正常」に変化しないとご回答いただきましたが、
「監視データ」→「イベント」にて確認したところ、
トリガーに設定している文字含むログを記録した時間に「障害」と検知し、
その後、トリガーに設定していないログを記録した時間に「正常」へと
ステータスが変化していることを確認しました。
本動作が、Zabbixにおけるログ監視の仕様でありますでしょうか。
>障害とみなすログが出力されるたびにアクションで通知を行いたい
>のであれば、トリガーの設定で、
> 障害イベントを継続して生成
>にチェックするようにしてください。
上述回答につきましては、該当項目にチェックをつけ、
ログが出力するたびに通知されるようになりました。
TNK - 投稿数: 4671
アイテムがどのようなアイテムなのかわかりませんが、特にフィル
タリングせずに、すべてのログの行を読み込むようなアイテムなの
であれば、トリガーの条件式で設定されている
条件:{ホスト名:キー.iregexp(err|crit|alert|emerg)}=1
を満たさないログが出力されれば、トリガーの状態が「正常」にな
ります。
つまり、Zabbixだからということではなく、そうなるようにdondoc
さんがアイテムとトリガーを設定されているのです。
ご確認ください。
dondoc - 投稿数: 86
ご回答いただき、ありがとうございます。
アイテムで特にフィルタリングせずに、ログを全て読み込むよう設定されているため、
トリガーの条件式を満たさないログが書き込まれたときに「正常」となっていることを確認しました。
以上、ご回答いただきありがとうございました。