Windows イベントログ監視アイテムにて特定のログを除外する方法について
お世話なっております。nari0001です。
【Zabbixサーバの環境】
Zabbix5.0
Red Hat Enterprise Linux release 8.0
イベントログ監視にて、既知のエラーログについては、容量削減のため除外したいと考えております。
除外としてはsourceとeventidを指定して行いたいです。
試したのは
source:CLLO でeventid:100のものを除外するです。
以下のアイテムキーを設定しました。
eventlog[Application,,,^(?!.*CLLO).+$,^(?!.*100).+$]
上記だと
source:CLLOのエラーログ全て除外、eventid:100のエラーログ全て除外という動きになってしまいます。
なのでsource:CLLO eventid:111も除外してしまいます。
ご教示頂きたいのは、source:CLLO eventid:111(100以外のも)はログを取得し、
source:CLLO でeventid:100のみを除外するアイテムキーの設定です。
有識者の皆様、ご尽力お願い申し上げます。
TNK - 投稿数: 4738
eventlog[]の引数だけで複雑な条件をつけられないので、値自体は
広い範囲で取得するようにして、トリガーで障害かどうかを判定す
るように設定してみてはいかがでしょうか?
nari0001 - 投稿数: 10
TNKさん
ご回答有難うございます。
またいつもコメントを参考にさせて頂いております。
ご教示頂いた通り、トリガー側で不要なログは除外するように致します。
ログなので容量肥大化を避けたかったのですが、、難しいのですね。。
有難うございました。
Yasumi - 投稿数: 380
sourceとeventidを同時指定する方向での、ログ抑止は難しいです。
sourceとeventidは無視して、ログ内容で正規表現で絞り、ログのヒストリへの格納を制御するのが良いと思います。