Windowsイベントログ監視にて同じログを複数回検知してしまう
お世話になります。
現在、Zabbix4.0でイベントログ監視を行っているのですが、
一度しか発生していないログを複数回検知してしまいます。
環境は下記となります。
【Zabbixサーバー】バージョン4.0.10
【Zabbixエージェント】バージョン4.2.3
【OS】Windows Server2016 Standard
各設定は以下のようになっております。
①特定のソース名、イベントIDにてアイテムを作成
②①にて作成したアイテムを利用し、特定の深刻度、各文字列を検知するトリガーを設定
アイテムを1つ、トリガーを1つ設定しており、条件式では「str」を使用、
「ファイル転送OK」のような文字列を指定しています。
イベントログは計7つで同時刻に発生しており、これらの各イベントログを
1回ずつ検知させることが目的です。
現在、この7つのイベントログの一番最後に発生したイベントログが同時刻に2回、
1分後に再度1回アラート(メール送信)が発生しています。
アクションの実行内容では{ITEM.VALUE}を使用しております。
以下はアイテム・トリガー及びアラート(メール)の例になります。
①【アイテム】:eventlog[System,,,Backup,900,,]
②【トリガー】:{xxx-xxx01x:eventlog[System,,,Backup
,900,,].logseverity()}=1
and
{xxx-xxx01x:eventlog[System,,,Backup
,900,,].str(ファイル転送OK)}=1
and
{xxx-xxx01x:eventlog[System,,,Backup
,900,,].nodata(1m)}=0
【アラートメール】
1通目
検知時刻:[9:00:00]
監視種別:イベントログ監視【ファイル転送OK】
詳細情報:ファイル転送OK(○○ファイル)
2通目
検知時刻:[9:01:00]
監視種別:イベントログ監視【ファイル転送OK】
詳細情報:ファイル転送OK(○○ファイル)
3通目
検知時刻:[9:01:30]
監視種別:イベントログ監視【ファイル転送OK】
詳細情報:ファイル転送OK(○○ファイル)
※3通全て同じイベントログを検知しています
上記の問題を解決する方法がございましたら、ご教示いただきたく存じます。
よろしくお願いいたします。
TNK - 投稿数: 4769
条件式内でnodata()を使用されているからだと思われます。
nodata()は30秒ごとにチェックされるので、引数で指定している時
間(1分)の間、他の条件式での条件が一致しない状態にならない限り、
イベントが繰り返し発生します。
nodata()の引数を30秒にすれば、複数回通知される数が減るかもし
れません。
nodata()を使用する場合、必ず1回だけという設定は難しいでしょう。
イベントログから取得する際に、フィルタリングを減らして、他の
イベントログが取得されていれば、より早いタイミングで他の条件
式で条件が合致しない状態になるので、トリガーの状態も正常に戻
りやすくはなると思います。
ただし、イベントログのヒストリデータをより多く保持することに
なるので、データベースの容量や性能に影響が出るかもしれないこ
とにご注意ください。
DSR-1 - 投稿数: 31
TNK様
お世話になります。
nodata()が問題の原因とのことで承知いたしました。
また、対策のご提案をいただきありがとうございます。
以上、よろしくお願いいたします。