ログ監視でアラート検知後にログを確認しても障害内容が出力されていないことがある
お世話になります。
タイトルの件について以下質問させていただければと思います。
■質問内容
現在下記の設定をしていますが、アラート発報時にログを確認しても10数回に一度くらいの割合でログ内にエラー内容が出力されないという事象が発生しております。
こちらについて監視設定に問題が無いか、または誤検知やZabbixの仕様の問題なのかといった原因についてお聞きしたいです。また問題解消のための対策もあればお聞かせいただけないでしょうか。
■環境
Zabbixサーババージョン:Zabbix 4.0.24
Zabbixエージェントバージョン:Zabbix 4.0.24
エージェント側OS:Red Hat Enterprise Linux 7.4
■運用状況
24時間365日運用
■監視設定
Zabbixサーバからエージェント側に以下の監視をしています。
アイテムキー:logrt[/logs/^access.log$,@Sorry_300_unavailable,,,,]
トリガー:{server01:Sorry_300_unavailable_LOG_COUNT.last()}>10 and {server01:Sorry_300_unavailable_LOG_COUNT.nodata(60)}=0
内容:DDos攻撃対策のため、ログ監視でaccess.log内を常時監視して、60秒以内に10回以上対象文字列を含むログが出力された場合にアラートを出すという設定です。
■補足
・通常アラート発報時はログ内容は正しく出力されたうえで検知しております。
・問題の事象発生時間帯に特別な作業(Zabbixの設定変更、サーバ作業、計画停電など)は実施しておりません。
・事象発生時間帯に規則性は有りません。(昼夜問わず)
・複数サーバに共通の設定をしており、複数サーバにて事象発生を確認しております。
TNK - 投稿数: 4671
「アラート発報時」というのは、障害発生の通知ですか?障害回復
の通知ですか?
アラート発報時に確認された「ログ」というのは、監視しているロ
グファイルの内容のことですか?
それともZabbixのWebインターフェース上の何らかの画面で表示さ
れる情報ですか?
何を指しているのかがわかりません。
質問の内容が不明確なので、何がどのように問題になっているのか
がわからないため、回答することは難しいです。
infra_20210412 - 投稿数: 3
「アラート発報時」は障害発生の通知です。
アラート発報時に確認された「ログ」はZabbixエージェントが導入されているサーバのアクセスログのことです。
質問内容としては、障害発生時(アクセス集中時)にZabbixから障害発生検知のメッセージをメールやTeamsで受け取るのですが、そのあと発生時間帯のサーバのアクセスログを確認しても、ソーリーページを返したというログ(記録)が数十回に一度の割合で全く残っていない場合があるということです。※通常は発生時間帯にログ(記録)が残っています。
TNK - 投稿数: 4671
アイテムの最新データを確認して、発報された時刻の前後のアイテ
ムの値を確認してください。
Sorry_300_unavailable_LOG_COUNTの内容もわからないので、その
内容を考慮して、発報時のそれぞれの値を確認して、どの条件に該
当していたのかを特定してください。
先の返答で、障害発生時の通知かと確認させて頂いたのは、条件式
でnodata()を使用しているので、ログの出力有無とは関係なく、ア
クションの設定によっては、障害復旧時にも通知は行われるからで
す。
障害発生時と復旧時はメッセージが違うので判別できるはずですが、
それがわかるような情報がないので確認させていただきました。
infra_20210412 - 投稿数: 3
ご回答ありがとうございます。
一旦はまた障害が再発した際にアイテムの最新データを即時確認するようにして、発報時刻前後のアイテムの値を確認するようにいたします。
そこで進展がございましたらまたご連絡させていただきます。