ログ監視の誤検知について
過去のログを2度、検知してしまう現象が発生しています。
ヒストリを見る限り
ヒストリ
-------------------
タイムスタンプ ローカル時間
2019/7/19 23:10:53 2019/06/13 23:05:48
2019/06/13 23:10:48 2019/06/13 23:05:48
-------------------
と表示されているので、同じ値を2度に渡り、検知している事が確認できています。
アイテム、トリガーの設定では、特段、変わった設定をしているわけではないと思っています。
アイテム
-------------------
キー設定 log[D:\AAA\log\info.log,XXXX,SHIFT_JIS,]
更新間隔 300s
ヒストリ保存期間 90d
ログの時間の形式 yyyy/MM/dd hh:mm:ss
-------------------
トリガー
-------------------
条件式 {Template:log[D:\AAA\log\info.log,XXXX,SHIFT_JIS,].str(XXXX)}=1 or {Template:log[D:\AAA\log\error.log,XXXX,SHIFT_JIS,].str(XXXX)}=1
正常イベントの生成 条件式
障害イベント生成モード 複数
正常時のイベントクローズ すべての障害
-------------------
その他の状況
・ログローテーションはしていません。ローカル時間にファイルへログが追記される仕様です。
・条件式にerror.logの表記がありますが、そちらにはログは出力されておらず、ヒストリを検索しても何も出てきません。
・2019/7/19 23:10:53 にサーバやシステムに特段、何かがあったわけではありません。
・毎時、ログを吐き続けるようなシステムになっているので、2019/06/13 23:10:48 から 2019/7/19 23:10:53 の間には検出しないログは相当量出ています。
・2019/7/19 23:10:53 の10分前には、ログが出ていますが、検出しない値のログです。
・zabbixのバージョンは、3.4です。
情報量が少なく申し訳ございませんが、何か手がかりだけでも入手できればと思っています。
よろしくお願い致します。
TNK - 投稿数: 4671
使用されているバージョンが3.4とのことですが、Zabbixサーバー
とZabbixエージェントのより詳細なバージョンをお教えください。
Windowsのエディションやバージョンももしかしたら関係してくる
かもしれません。
Zabbixが3.4の最新ではない場合は、最新のバージョン(3.4.15)に
することで改善するかもしれません。
しかし、3.4は、すでにサポートが終了しているので、不具合であ
ったとしても公式にさらに修正されたバージョンはリリースされる
ことはないと思います。
takkun - 投稿数: 8
TNKさん
返信ありがとうございます。
zabbixサーバ、エージェント共に、3.4.6でした。
windowsは、2012R2 Standardです。
よろしくお願いします!
Yasumi - 投稿数: 372
とりまきskipを入れたらどうでしょう。
takkun - 投稿数: 8
すいません。返信で返せばよかったですが、↓はYasumiさんへのメッセージです。
takkun - 投稿数: 8
Yasumiさん
ご返信、skipの情報ありがとうございます!
調べるとzabbixエージェントが停止している期間を含まないと書いてあったり、
アイテムの作成日時以前は読み込まないと書いてあったりしますが、
都合が良いのは、アイテムを更新する以前(ローカル時間、もしくはファイル更新日時)は読みこまない。です。
このような設定は難しいのでしょうか?
もし、アイテム更新前は読みこまないような仕様であれば、万が一、今回のようなエラーが起きてしまった場合は、
アイテムを更新すれば、過去はもう読まなくなるので…。
TNK - 投稿数: 4671
skipオプションは、アイテムの作成時よりも前のログを読み込まな
いようにするための設定です。
エージェントを止めている間のログを読み込まないという設定では
ありません。
takkun - 投稿数: 8
返信ありがとうございます。
アイテムの作成ですか…。アイテムの更新時であれば、良かったのですが。。
どちらにしても検証しないといけませんね。。
Yasumi - 投稿数: 372
同じログの多重検知は、何かしらの機会によって発生することはままありえます。
※同じ名称のログファイルが存在するなど、もろもろ。
設定には気になる点はないので、あまり頻発しないようでしたら、
ある程度は仕方ないかもですね。
takkun - 投稿数: 8
そうなのですね。
検知しないのは困るので、間違いがあるのであれば、誤検知の方がまだ良いのですが。。
頻繁にはなくてもしっかり検知するシステムであってほしいですね。。
Yasumi - 投稿数: 372
誤解されているようですが、「Zabbixは正常な動作をしていても」、
ログファイル側の問題やOS再起動などの要因でログを多重検知することがあるという意味です。
K-T_MT - 投稿数: 8
takkun さん
本件、バグの可能性もあります。
過去に私も同じ状態になりました(AIX7のログ監視)。
4.0.0を使用していたのですが、
検知した際、1行目のログを見落として、過去のログが1行目として表示されるような感じだったと思います。
4.0.7のエージェントに更新したところ、すべて正常になりました。
(リリースノート内にもこのログ検知問題が記載されておりました)
エージェントのバージョン更新がもしかすると効果的かもしれません。
takkun - 投稿数: 8
K-T_MTさん
ご返信ありがとうございます。
バグですか…。そんなに複雑に作っているわけではないので、
バグと言われると幻滅してしまいますね。。
バージョンアップも含めて、検討したいと思います。
takkun - 投稿数: 8
今回の件、もう少し詳しく調査をした所、
メンテナンスモードにした後に、誤検知を起こす頃がわかりました。
一度メンテナンスモードにしただけで、ログを最初から読み直してしまうなんて事があるのでしょうか・・・。
TNK - 投稿数: 4671
通常ではありません。
設定を変更していたり、ログファイルのタイムスタンプなどファイ
ルを特定する情報が変更されてしまっていたりしなければ、再読み
込みはしないようになっています。
ただし、3.4.6という古いバージョンを使用されているので、もし
かしたら昔の不具合が残っている可能性は考えられます。
少なくとも、同じメジャーバージョンの最新版で確認されることを
お勧めします。