Windowsのイベントログ監視で、条件式にマッチしないはずのログも通知されてしまう
お世話になります。
Windowsのイベントログを取得し、警告レベルのログがあった場合に通知する、
という要件があり、下記のようにアイテム・トリガーを設定しました。
-----
●バージョン
5.0.33
●アイテム
タイプ:Zabbixエージェント(アクティブ)
キー:eventlog[Application,,,,,,skip]
データ型:ログ
監視間隔:1m
●トリガー
深刻度:致命的な障害
条件式:{ホスト名:eventlog[Application,,,,,,skip].logseverity()}=4
障害イベント生成モード:単一
-----
しかしながら、情報レベルのログについても通知が来てしまっています。
トリガーの条件式に問題があるのでしょうか。
皆様のお知恵を拝借できますと幸いです。
どうぞよろしくお願いいたします。
TNK - 投稿数: 4760
アクションのメッセージ内にどのようなマクロを使用されています
か?
例えば、{ITEM.LASTVALUE}を使用していませんか?
{ITEM.LASTVALUE}を使用していると、トリガーの条件式に合致した
アイテムの値ではなく、アイテムの値の最新値を取得するので、ト
リガーの条件とは合致しない値がメッセージ内に含まれる場合があ
ります。
t-kurosawa - 投稿数: 2
TNKさん、アドバイス下さりどうもありがとうございます。
メッセージテンプレートを見ると
Operational data: {EVENT.OPDATA}
となっていました。
https://www.zabbix.com/documentation/current/jp/manual/appendix/macros/s...
の説明を見ると「障害の根本的なトリガーの操作データ」とあるので
エラーレベルのログが使われるかと思ったのですが・・・。
あと、検証をしていて一つ分かったことがあるのですが
Zabbixがイベントログを取得した際に下記のような動作となることがわかりました。
例えば下記のような時系列だと、
●時系列
00:00:00 Zabbixサーバがイベントログを取得
00:00:10 エラーレベルのイベントログが記録される
00:00:20 情報レベルのイベントログが記録される
00:00:30 情報レベルのイベントログが記録される
00:01:00 Zabbixサーバがイベントログを取得
...
00:01:00にZabbixサーバが00:00:10、00:00:20、00:00:30の3つのイベントログを取得、
トリガーの条件式によって00:00:10のエラーレベルのログが検知され、メール通知されます。
その際、取得したイベントログのうち最新のもの、この時系列でいうと00:00:30のログが
メール本文に使われてしまう動作をしていました。
今のアイテム・トリガーの設定ではこのような動作となってしまうのであれば
アイテム、若しくはトリガーを修正することで
エラーレベルのイベントが出力されたらそのログを本文に使って通知を飛ばす
ということが実現可能かどうか、可能であればどのような設定になるのか、
お知恵を拝借できますと幸いです。
どうぞよろしくお願いいたします。