過去に収集したログ内容を再度収集し、エラー検知してしまう。
OS:CentOS 7.2
Zabbix Server: 3.0.7
【問い合わせ内容】
過去に収集したログ内容を再度収集し、エラー検知してしまう。
以下のアイテムでログ監視を実施しております。
-----------------------------------------------------------------------
タイプ:Zabbixエージェント(アクティブ)
キー :logrt["/var/log/XXXXXX/(XXXXXX.log|XXXXXX.log.[0-9][0-9])"]
※XXXXXX・・・実環境のログファイル名になるため、伏字にしております。
-----------------------------------------------------------------------
過去ログを再度収集しに行き始めた時間を確認したところ、
サーバ側でログローテートが実行されておりました。
以下に対象ログのls結果を記載します。
-----------------------------------------------------------------------------------------------
■Aサーバ
[Fri Jun 30 16:57:17.875 2017] rw-r--r- 1 XXXXXX XXXXXX 0 Jun 30 06:49 XXXXXX.log
[Fri Jun 30 16:57:17.875 2017] rw-r--r- 1 XXXXXX XXXXXX 10555344 Jun 30 07:39 XXXXXX.log.1
-----------------------------------------------------------------------------------------------
※ローテートされた旧ファイルのタイムスタンプのほうが新しい時間になっている。
[質問]
1.上記のアイテムでログを監視した際、ファイルの更新日が新しい方を再度監視しにいき
過去のエラーを検知してしまう動きが、Zabbixとして正しい動作になるのでしょうか?
2.今回の事象について、アイテムの設定変更などで再収集を防ぐことは可能でしょうか?
ご確認の程よろしくお願いいたします。
TNK - 投稿数: 4717
最新のログファイルと過去のログファイルのタイムスタンプを比較
して、過去のログファイルが新しくなってしまうようなログローテ
ーションでは、logrt[]は再度タイムスタンプの新しい古いログフ
ァイルをチェックしてしまったと思います。
ログのローテーション方法を見直すか、log[]を使用してチェック
間隔を短くするなどの対応をご検討ください。
fripper - 投稿数: 495
ログローテートの設定と、アプリケーション側のミスマッチで、
ローテート処理後に、引き続き、古い方のログ(XXXXXX.log.1)へ
ログが出力され続けている‥等は無いでしょうか
06:49 XXXXXX.log となっている方が0バイトのままで、
07:39 XXXXXX.log.1 となってしまっているので、ローテート処理後の
アプリケーション側による追記が怪しいかと思います
古い方のログに追記されてしまった場合の挙動はTNK様の仰っているとおりなので
ローテート処理が行われる時点で
・古いほうのファイルのタイムスタンプは変更されないこと
・ローテート後には古いほうには追記しないこと
が、logrt が正常に(意図通り)動作するための要件となります
ご確認ください
dondoc - 投稿数: 86
TNK様 fripper様
ご回答いただきありがとうございます。
TNK様からのご回答にありました「チェック間隔を短くする」についてですが、
チェック間隔を短くしたときに、どのような動作が行われ本事象の対処となるのか
ご教示いただけますでしょうか。
TNK - 投稿数: 4717
logrt[]を使用せずにlog[]を使用し、特定のログファイル名のみに
することで、その指定したファイル名のログに追記されている限り、
ログ監視の対象とすることが可能にします。
監視間隔を短く設定するのは、ローテーション時にできる限り取得
漏れを少なくするための対処です。
ただし、ローテーションされた古いファイルに、ファイル名変更後
もログが書き込み続けられるのであれば、それらを監視することは
できません。
dondoc - 投稿数: 86
TNK様
回答ありがとうございます。
log[]を使用して監視間隔を短くする意図について理解しました。
dondoc - 投稿数: 86
本件、ログローテーション設定について調査・対応する方針となりました。
Zabbix側の設定は現状のままとします。
よって本件はクローズします。
回答してくださった皆様、ありがとうございました。