メンテナンス期間が終了すると、期間中にサプレスしていた警告が一斉に通知されてしまう、
■現在の環境
RockyLinux 8.4
Zabbix 5.4.7
■従来の環境
CentOS8.2
Zabbix 5.0.2
従来の環境において、セキュリティ対策として業務時間外に SSH でのログインがあった場合に、それを検知して障害通知を上げる設定としていました。
そのため、SSHログイン成功のトリガーにタグを指定したうえで、そのタグを指定して平日の営業時間帯を監視対象のメンテナンス期間と設定していました。(メンテナンスタイプは「データ収集あり」としています)
Cent8 が EOL を迎えるため、Rocky 上に新たに Zabbix 5.4.7 をインストールし、テンプレート等の設定については、従来の環境からエクスポートしたものを、現在の環境でインポートしました。
なお、5.0.2 から 5.4.7 の間で、トリガーの条件式の形式が変わってしまったところがちょっと気にはなっていますが、正しくインポート時に変換してもらえたものと思って、変更はしていない状態です。
従来の 5.0.2 の環境では、こちらの意図したとおりに、営業時間外のアクセスについてのみ通知されていたのですが、現在の 5.4.7 の環境においては、メンテナンス期間が終了した直後に、営業時間内(=メンテナンス期間中)の SSHのログインが、一斉に通知されてしまう状況となっております。
どうすれば、メンテナンス期間内の通知が、期間終了後に通知されてしまう状況を回避できるようになりますでしょうか?
hige.no.papa - 投稿数: 53
回答がなかなかいただけないので、情報を捕捉します。
エクスポート→インポートで変換されたトリガーの条件式は以下の通りです。
■5.0.2
{Template名:log[/var/log/secure,Accepted keyboard-interactive/pam|session opened for user].str(Accepted keyboard-interactive/pam,1)}=1
■5.4.7
find(/Template名/log[/var/log/secure,Accepted keyboard-interactive/pam|session opened for user],1s,"like","Accepted keyboard-interactive/pam")=1
メンテナンスの時間帯が終了するとともに通知が多発することから、トリガーの条件式自体は意図した通りに動作していると思われますし、どこが違うのかがわかりません。
なお、条件式以外の設定は、どちらも以下の通りの設定となっています。
正常イベントの生成:なし
障害イベント生成モード:複数
手動クローズを許可:チェックあり
原因がトリガーの設定なのか、メンテナンスの設定なのかもわからない状況です。
ぜひとも対応策のご教示のほどよろしくお願いいたします。
hige.no.papa - 投稿数: 53
自己解決しました。
トリガーアクションの実行条件で「メンテナンス期間外」(指定方法は「タイプ:メンテナンス期間中」「オペレータ:いいえ」)を And 条件に登録していなかったことが原因でした。