ログ監視・集計における特定キーワードの除外方法について
いつもお世話になっております。
Zabbix 3.4.4. を使用しております。
syslog等のログ監視を行っており、
大量のErrorを含むログを検知した際、
通知を抑止する設定を考えております。
下記のトリガーで、一応の動作はしたのですが
除外しているログが大量に出力された際にも
抑止が発生してしまい困っております。
※実際は除外するキーワードが倍以上あります。
アイテム
log[/var/log/messages]
トリガー
({log[/var/log/messages].iregexp(error)}=1)
and({og[/var/log/messages].regexp(HTTP PUT IOError)}=0)
and({log[/var/log/messages].regexp(HTTP GET IOError)}=0)
and({log[/var/log/messages].count(10m,"error")}<100)
最後の({log[/var/log/messages].count(10m,"error")}<100)の部分に
"HTTP PUT IO Error"と"HTTP GET IOError"はカウントしない、
と言った条件は設定可能でしょうか。
また下記計算アイテムにおいても同様に
"HTTP PUT IO Error"と"HTTP GET IOError"はカウントしない、
と言った条件は設定可能でしょうか。
キー
messages_error_count
式
count("log[/var/log/messages]",10m,"error","like")
ご教授の程お願い致します。
宜しくお願い致します。
Yasumi - 投稿数: 372
検証していないので動作は不明ですが、下記みたいな感じですかね。
ただ、これだと100件以上errorログが出力したときにアラートが発報しないと思いますが。
============================================
・アイテム
log[/var/log/messages,,,,skip]
log[/var/log/messages,@LOG_EXCLUDE,,,skip]
・正規表現
LOG_EXCLUDE
HTTP PUT IOError [文字列が含まれない]
HTTP GET IOError [文字列が含まれない]
・トリガー
{log[/var/log/messages,,,,skip].iregexp(error)}=1 and
{log[/var/log/messages,@LOG_EXCLUDE,,,skip].count(10m,"error")}<100
============================================
Miles - 投稿数: 11
ありがとうございます。
100件以上続いた際にアラートを鳴らさなくする事が目的なので問題ありません。
頂いた内容で検証を進めます。