【イベントログ監視】Windows上で発生していないイベントログを検知してしまう
【問い合わせ内容】
Windows 2012R2の仮想マシンにてZabbix Agentをインストールし、イベントログ監視を実装しているが、
該当の仮想マシン内で監視対象として指定しているイベントが発生していないにも関わらず、
監視対象として指定しているイベントが発生しているとZabbixでイベントログ監視として検知されております。
原因は何になるでしょうか。ご教示ください。
過去に発生したイベントを見ているのでしょうか。
※実際に監視対象として指定しているイベントが発生した際は正しくイベントログ監視として検知されております。
【環境】
Zabbix Serverバージョン:4.2.6
Zabbix Agentバージョン:4.2.6.2400
【イベントログ監視の設定内容】
・アイテム
タイプ:Zabbixエージェント(アクティブ)
キー:eventlog[Application,,,"監視対象のソース名"] ※エンドユーザ様にて作成されたソース名となるため、監視対象のソース名と記載しております。
データ型:ログ
監視間隔:30s
ヒストリの保存期間:Storage period 90d
・トリガー
条件式:{ホスト名:eventlog[Application,,,"監視対象のソース名"].logeventid(93[45689])}=1 or {ホスト名:eventlog[Application,,,"監視対象のソース名"].logeventid(940)}=1
正常イベントの生成:条件式
障害イベント生成モード:複数
正常時のイベントクローズ:すべての障害
・アクション
実行条件:トリガー 等しい トリガー名
TNK - 投稿数: 4734
例えば、ZabbixエージェントのHostnameが同じ設定になってしまっ
ているサーバーが存在すれば、Hostnameに指定されたホストのログ
として取集されてしまいます。
認識されているサーバー上のイベントログとして記録されていない
のであれば、別のサーバーの物である可能性があるので、監視対象
のサーバーのZabbixエージェントの設定を確認してみてください。
MasahiroTakeuchi - 投稿数: 10
ご確認ありがとうございます。
監視対象が100台近くありますので、Zabbixサーバ側でどのIPの仮想マシンからイベントログ監視の通知が来ているかを確認することは可能でしょうか?