ログ監視におけるファイルパス変更時の挙動について
お世話になっております。
Linuxサーバのログ監視について質問させて頂きます。
Zabbixのバージョン:2.2.6
・事象
ログ監視アイテムの対象パスを変更すると、検知文字列を検知できない。
例)
変更前パス:/var/log/hoge/test.log
変更後パス:/var/log/hogehoge/test.log
・Zabbix設定
-アイテム
名前:テストログ監視
タイプ:Zabbixエージェント(アクティブ)
キー:log[/var/log/hoge/test.log,@hogetest.log]
データ型:ログ
更新間隔(秒):600
ヒストリの保存期間(日):90
-トリガー
名前:テストログ監視
条件式:
{XXX:log[/var/log/hoge/test.log,@hogetest.log].iregexp(@hogetest.log)}=1=0
深刻度:重度の障害
-正規表現
名前:hogetest.log
条件式:ERROR|FATAL
条件式の形式:結果が真
大文字小文字を区別:はい
・再現方法
1.アイテム、トリガー、正規表現を準備、有効化
2./var/log/hoge/test.logに 「ERROR」書き込み→検知
3.アイテムのキーを変更後パス(/var/log/hogehoge/test.log)に変更※
4./var/log/hogehoge/test.logに「ERROR」書き込み→検知せず
5.Zabbixプロセスリスタート
6./var/log/hogehoge/test.logに「ERROR」書き込み→検知
※項番3設定変更時に変更後のパス/var/log/hogehoge/test.logを事前に配置する・しないに
関わらず再現します。
アイテムでパスを変更した場合はプロセスリスタートしないと変更後パスのログを
認識できないものでしょうか。
TNK - 投稿数: 4720
Zabbixエージェントが定期的にエージェントアクティブで処理する
設定内容を更新するまで待つか、Zabbixエージェントを再起動して
Zabbixエージェント起動時の設定情報更新をさせるかしなければロ
グ監視の設定変更は反映されません。
s4r29 - 投稿数: 4
TNK様、
ご回答いただき、誠にありがとうございます。
RefreshActiveChecksを60で設定し、パス変更後60秒以上経過した後に同様のテストを
したところ検知することができました。
例えばallowrootはデフォルト「0」で、コメントアウトしていた場合でも
デフォルト値である「0」が適用される認識ですが、試験した段階では
RefreshActiveChecksをコメントアウトしておりますが、ドキュメントURLにある
デフォルト値(120)はこの場合適用されないでしょうか。
https://www.zabbix.com/documentation/2.2/jp/manual/appendix/config/zabbi...
再度コメントアウトし、念のため600秒以上経過後に同様のテストを行ったところ
検知することができませんでした。(Zabbix-Agentリスタートでその後は検知できました。)
TNK - 投稿数: 4720
適用されます。
ただし、Webインターフェースで設定変更後、Zabbixサーバーがデ
ータベースから取得してZabbixサーバープロセス上の情報が更新さ
れていないと、ZabbixエージェントからZabbixサーバーに接続して
情報を受け取っても、古い情報のままとなります。
Zabbixエージェントへの情報反映は、多段での情報反映が必要なの
で、RefreshActiveChecksだけ待ったとしても反映はされていない
場合があるのでご注意ください。
検知できなかったのは、恐らく、情報が反映される前に確認された
のだと思います。
s4r29 - 投稿数: 4
通常は適用されるのですね。
10分以上経過してからでしたが、もっとロングスパンで確認してみます。
本テストをしている背景として、ログパスを変更後半年以上検知できなかった問題があったためです。
他監視項目については問題なく発報できておりますが、このログ監視だけ問題が出ておりました。
多段での情報反映も考慮する必要があるとのことですが、半年以上も反映されないのは
あまり現実的ではなく、他に原因として考えられる要因はありますでしょうか。
TNK - 投稿数: 4720
Zabbix 2.2.6というとても古いバージョンを使用されているので、
不具合がある状態のまま使い続けている場合が考えられます。
2.2.xの最新版は、2.2.21です。
s4r29 - 投稿数: 4
バージョンについては仰る通りで、不具合を抱えている可能性もあるとのことで承知いたしました。
ご丁寧に返信いただき、ありがとうございました。