ログ監視(FileAge)について
zabbixサーバ:Red Hat Enterprise Linux release 8.2 (Ootpa)
zabbix_server (Zabbix) 5.0.3
監視対象:windows 2019 ,Zabbix-agent 5.0.2(通信はPSKで暗号化を構成)
現在、別の監視ツールからZabbixへの移行を進めております。
質問の内容としては、あるログファイルが30分間更新されなかったら
トリガー検知しアラートを発報させたい、となります。
そこで、アイテムは以下の設定を行っており、値は取得できています。
--------------------------------------------------------------------
タイプ:Zabbixエージェント
Item:vfs.file.time[<対象のログファイル>,modify]
データ型(整数)
更新間隔:15m
--------------------------------------------------------------------
トリガーの設定は、ネットの情報を参考に以下のように考えております。
{Application servername:vfs.file.time[<対象のログファイル>,modify].now()}-
{Application servername:vfs.file.time[<対象のログファイル>,modify].last()}>1800
実際に設定を試してみたところ、now()関数の結果の値(不等号+数値)が必須項目となっており、
「.now()}-」という形で登録できませんでした。
また、2行目の条件式の連結については、And , Orで繋げていないように見えるので、
ここもどう設定すべきかが分かりませんでした。
どのように設定したらトリガー検知させることができるでしょうか。
fripper - 投稿数: 495
vfs.file.time の取得結果は 整数型 で、unix-timestamp 方式の値が監視収集されます
15分に1度程度、アイテム値を取得されているようですので
ログが出力され続けている(ファイルが更新され続けている)限りは、異なる値が届くはず
以下のようにしてみるのはいかがでしょうか?
{...vfs.file.time[<対象のログファイル>,modify].delta(30m)}=0
直近30分間に監視・収集された値(おそらく1度・2度)と最新値の「差分が無かったら」といった条件にすることで
「ここ数回の監視・収集において、値が更新されていない=同じタイムスタンプ値が収集されている」
すなわち
「ファイルが更新されていない」と解釈できるのではないでしょうか
hasekine - 投稿数: 7
fripper様
ご回答頂き、ありがとうございます。
なるほど、もともとやりたかった事を別の視点から見てみるワケですね。参考になります。
確かに、「30分間更新が無かったら」=「1度目、2度目の値に差分が無かったら」と言えますね。
ご提示頂いた内容でテストを実施してみたいと思います。
hasekine - 投稿数: 7
早速検証しました。
結果、30分間ファイル更新が無かった場合にちゃんと障害として検知する事ができました。
ただ、アラートメールを見ると、以下のような形で飛んでくるので、
ぱっと見、この障害がFileAgeに結びつきません。
---------------------------------------------------
Notification Type: PROBLEM
Service: <サービス名>
Host: <サーバ名>
Address: <サーバのIPアドレス>
State: Warning
Date/Time: 2021.01.26 17:55:01
Additional Info:
<サーバ名>: vfs.file.time[<対象のログファイル>,modify]: 1611648902
---------------------------------------------------
アラートメールの内容はデフォルトで何も設定していませんので、
この形は現時点では正しい内容だとは思います。
"Service"の部分で判断すれば何とか分かりますが、
設定している私以外の人がアラート見ても「?」かなと。
メールのフォーマットをカスタマイズできるようですので、そこでこの障害は何の障害なのか直感的に分かるようにしていけばいいのかなと理解していますが、認識は合っていますでしょうか。