イベントログ監視の設定について
初めまして。
いつも参考にさせて頂いております。
イベントログの監視を行いたいのですが、どうにも値の取得が
できません。
イベントログの保存先をDドライブに変更しているのですが、
パスを変更してしまうと読み取れないのでしょうか?
zabbixのログではサーバ・エージェントともにエラーはなく
設定を入れて暫くおいても取得不可にはならないのですが、
ヒストリを見ても値が入ってこない状態です。
こちらの環境は以下の通りです。
[Zabbixサーバ]
ver: 1.8.2
OS: RHEL 5.4 final
[Zabbixエージェント]
ver: 1.8.2
OS: Win2k3 R2 x64
恐れ入りますが、ご確認頂けますと幸いです。
kodai - 投稿数: 1341
こんにちは。
アイテムにどのような設定をされているでしょう?設定を書いていただかないとこちらも回答ができませんので、アイテムの設定、特にキーとデータ型を教えてください。
omeme - 投稿数: 4
申し訳ございません。
設定は以下の通りです。
-------------------------------------
名前: Application eventlog
タイプ:zabbixエージェント(アクティブ)
キー: eventlog[Application,,,,14151]
データ型:ログ
更新間隔:300秒
例外の更新間隔:なし
ヒストリの保存期間:90日
監視対象のイベントログ保存先:D:\EventLog
-------------------------------------
ちなみにキーを"eventlog[Application]"としても
同様で、値が入ってこないように見えます。。
よろしくお願いいたします。
omeme - 投稿数: 4
上記の原因は分かっていませんが、
evntwinでsnmpトラップを作ってZabbixトラッパーで
受けるようにすると、監視することが出来ました。
お騒がせ致しました。。
kodai - 投稿数: 1341
イベントログのキー設定ですが、
eventlog[name<,regexp><,severity><,source><,eventid><,maxlines>]
となっているので、
eventlog[Application,,,,14151]
という設定だと14151のイベントIDのみ受信する設定になります。
また、イベントログの設定はWebインターフェースで設定してから設定が反映されて監視が始まるまでに多少タイムラグがあります。(デフォルト2分)
設定変更を行ったら少し待ってみてください。もしくはZabbixエージェントを再起動するとすぐに設定が反映されます。
omeme - 投稿数: 4
ご確認頂けましてありがとうございます。
キー設定を
eventlog[Application]
に変更してエージェントを再起動し、1日おいてみましたが、
Zabbixサーバ側にはデータが送られていないようです。
zabbix_agentd.logには、再起動が成功した旨のメッセージ以降は
何も出力されていません。
-----------------------------------------
4944:20100820:215358.394 zabbix_agentd collector stopped
2068:20100820:215417.112 Zabbix Agent started. Zabbix 1.8.2 (revision 11189).
5716:20100820:215417.112 zabbix_agentd collector started
3840:20100820:215417.112 zabbix_agentd listener started
240:20100820:215417.112 zabbix_agentd listener started
2244:20100820:215417.112 zabbix_agentd listener started
5580:20100820:215417.112 zabbix_agentd active check started [xxx.xxx.xxx.xxx:10051]
-----------------------------------------
zabbix_agentd.confの設定は、Serverの値以外はデフォルトのままです。
他に注意すべき点等ございますでしょうか?
度々申し訳ございませんが、よろしくお願いいたします。
takai - 投稿数: 20
因みに、ですが、Zabbix Agent側の設定ファイルで指定する、
Agent側のhostnameと、Zabbix Server側のWeb管理画面で登録した
監視対象のホスト名は同じでしょうか?
Active Checkはホスト名が一致しないと
正常に実行されなかった気がするので、ご参考まで。
# ほかのActive Checkは上手くいっているようでしたらごめんなさい。
TNK - 投稿数: 4731
同様の環境を作成して確認してみました。
まず、イベントログの保存先を変更する前に、Zabbixエージェントを導入して、
eventlog[Application]
でログをZabbixサーバ側で取得してWebインターフェイス上で確認できることを確認しました。
その後、イベントログの保存先変更を、以下のURLにある方法を利用して変更しました。
http://support.microsoft.com/kb/315417/ja
具体的には、Applicationログのみですが、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application
内の
File
の値を、
E:\EventLog\AppEvent.Evt
に変更してOSを一度再起動して、Windows上のイベントビューアに新しいログが保存されていることを確認しました。
その状態であっても、継続してZabbixサーバ側にログを送れることが確認できました。
ですので、イベントログの保存先を変更しても動くはずなのですが、再度、保存場所の変更が正常に設定できているかと、Windows上のイベントビューアで新しいイベントログが参照できているかをご確認下さい。
あと、一応確認させて頂きたいのですが、該当するサーバのeventlog以外の他のアイテムは、正常に取得できているのでしょうか?