Windowsイベント監視で特定のIDを抑止方法
いつもお世話になっております。
テンプレートを使用して、各サーバのApplicationイベントログ監視をしており
エラーレベルErrorのイベントを検出時にトリガー発報するよう設定しています。
その上で以下の内容を実現したく、ご教授お願いいたします。
【実現したい内容】
・特定のイベントIDではアラートをあげないよう抑止する
・抑止するイベントIDはホストによって異なるため、ホストマクロにて設定する
・ステータスを常に「障害」状態で運用する
(抑止イベントIDが検出された場合、「正常」に戻らない設計にしたい)
→障害復旧は、「障害対応コメント」を入力することにより判断しているため
現在、以下のようにアイテム/トリガー設定していますが
抑止イベントID検出時に、ステータスが「正常」に戻ってしまいます。
アイテム:eventlog[Application,,"Critical|Error"]
トリガー:{Template_Name:eventlog[Application,,"Critical|Error"].logseverity(4)}=4
and
{Template_Name:eventlog[Application,,"Critical|Error"].logeventid({$APP_ERR_ID})}<>1
#$APP_ERR_IDに各ホストマクロにて除外するイベントIDを設定
--ZabbixServer version--
OS:RHEL7.6
ZabbixServer: 3.0.13
--ZabbixAgent version--
OS:WindowsServer2016
ZabbixAgent:3.0.13
karna - 投稿数: 60
アイテムのキーでマクロが使えるので、取得時に不要なイベントIDを排除できませんか?
https://www.zabbix.com/documentation/3.0/manual/config/items/itemtypes/z...
hagemen - 投稿数: 5
ご回答ありがとうございます。
以下のURLを参考にアイテムの除外を検討したのですが
正規表現の否定先読みが今回のバージョンでは使用できず、実現できませんでした。
参考URL:http://unam.hatenadiary.jp/entry/2018/01/09/212654
他の方法がありましたらご教授頂けますでしょうか。
Yasumi - 投稿数: 380
・アイテム
eventlog[Application,,"Critical|Error",,{$RECOVER_ID},,skip]
・ホスト⇒マクロ
マクロ:{$RECOVER_ID}
値:@RECOVER_ID
・管理⇒一般設定⇒正規表現
@RECOVER_ID
条件式:抑止イベントID
条件式の形式:[文字列が含まれない]
上記のように設定してみてください。
hagemen - 投稿数: 5
>>Yasumiさん
ご回答ありがとうございます。
以下のように設定しましたが、イベントが抑止されませんでした。
アイテム:eventlog[Application,,"Critical|Error",,{$RECOVER_ID},,skip]
トリガー:{Template_Name:eventlog[Application,,"Critical|Error",,{$RECOVER_ID},,skip].logseverity(4)}=4
ホストマクロ:{$RECOVER_ID}
値:@RECOVER_ID
正規表現:RECOVER_ID
条件式:11,12,13
条件式の形式:[文字列が含まれない]
設定の不備がありましたらご教授お願いします。
Yasumi - 投稿数: 380
条件式が複数の場合は、3つの条件式に分ける必要があります。
分かれていますでしょうか?
正規表現:RECOVER_ID
条件式:11
条件式の形式:[文字列が含まれない]
条件式:12
条件式の形式:[文字列が含まれない]
条件式:13
条件式の形式:[文字列が含まれない]
hagemen - 投稿数: 5
>>Yasumiさん
ご回答ありがとうございます。
分けて記載したところ、条件式に記載したイベントIDを抑止できました。
ですが、抑止対象でないイベントIDも抑止されてしまったため、回避法などあればご教授お願いします。
下記設定の場合、「11」だけでなく「110」や「1100」も除外条件に合致してしまうため、抑止されてしまう。
--設定--
正規表現:RECOVER_ID
条件式:11
条件式の形式:[文字列が含まれない]
Yasumi - 投稿数: 380
下記を試してみてください。
正規表現:RECOVER_ID
条件式:^11$
条件式の形式:[結果が偽]
条件式:^12$
条件式の形式:[結果が偽]
条件式:^13$
条件式の形式:[結果が偽]
hagemen - 投稿数: 5
>> Yasumiさん
上記設定をしたところ、実現したい動作となりました。
ご回答ありがとうございました!