zabbixのログ監視について
zabbixで以下ログ監視設定したのですが添付画像のように監視タイミングでアラートと復旧が一緒にくるようになってしまいました。
想定では特定の文字列が出力されなくなったらアラートが出るように設定しています。
初めて設定を行ったためご助言を頂けますと幸いです。
・zabbixバージョン:zabbix_server (Zabbix) 3.0.28
・アイテム
タイプZabbixエージェント(アクティブ)
キー:log[/var/log/syslog/srx/ca/ca-srx.log,newsyslog]
データ型:ログ
更新間隔:1800
ヒストリ保存期間:90
・アイテムが取得しているデータ(想定通りのログを収集しています。)
2024/05/02 09:43:17 1714610597 May 2 09:30:00 SRX02 cron[30089]: (root) CMD (newsyslog -X)
2024/05/02 09:43:17 1714610597 May 2 09:30:00 SRX02 cron[30087]: (root) CMD ( newsyslog -X -f /var/etc/ukern_gbl.logrotate.conf)
2024/05/02 09:43:17 1714610597 May 2 09:30:00 SRX01 /usr/sbin/cron[59015]: (root) CMD ( newsyslog -X -f /var/etc/ukern_gbl.logrotate.conf)
2024/05/02 09:43:17 1714610597 May 2 09:15:00 SRX01 /usr/sbin/cron[57838]: (root) CMD ( newsyslog -X -f /var/etc/ukern_gbl.logrotate.conf)
2024/05/02 09:43:17 1714610597 May 2 09:15:00 SRX01 /usr/sbin/cron[57837]: (root) CMD (newsyslog -X)
2024/05/02 09:43:17 1714610597 May 2 09:15:00 SRX02 cron[29635]: (root) CMD (newsyslog -X)
2024/05/02 09:43:17 1714610597 May 2 09:15:00 SRX02 cron[29632]: (root) CMD ( newsyslog -X -f /var/etc/ukern_gbl.logrotate.conf)
2024/05/02 09:13:17 1714608797 May 2 09:00:00 SRX02 cron[29355]: (root) CMD (newsyslog -X)
2024/05/02 09:13:17 1714608797 May 2 09:00:00 SRX02 cron[29356]: (root) CMD ( newsyslog -X -f /var/etc/ukern_gbl.logrotate.conf)
2024/05/02 09:13:17 1714608797 May 2 09:00:00 SRX01 /usr/sbin/cron[56722]: (root) CMD ( newsyslog -X -f /var/etc/ukern_gbl.logrotate.conf)
2024/05/02 09:13:17 1714608797 May 2 09:00:00 SRX01 /usr/sbin/cron[56720]: (root) CMD (newsyslog -X)
2024/05/02 09:13:17 1714608797 May 2 08:45:01 SRX02 cron[28993]: (root) CMD ( newsyslog -X -f /var/etc/ukern_gbl.logrotate.conf)
2024/05/02 09:13:17 1714608797 May 2 08:45:01 SRX02 cron[28990]: (root) CMD (newsyslog -X)
・トリガー条件式
{so02:log[/var/log/syslog/srx/ca/ca-srx.log,newsyslog].str(SRX02,1)}=0
その他必要な情報があればご教授いただけますと幸いです。
以上、よろしくお願いいたします
- WS000122.JPG (7.72 KB)
TNK - 投稿数: 4742
ログ監視は、トリガー条件式がログの行ごとに評価されるので、
09:43:17にトリガー条件式に合致するのとしない状態が発生して
いるので、障害発生と復旧のイベントが発生しているのだと思い
ます。
トリガーの条件式内で指定されている文字列「SRX02」とログを
見させていただいて「特定の文字列が出力されなくなったら」と
いうのがどのような状態を検知したいのかがわかりません。
「SRX01」のログが出力されたらということですか?
そうだとしても、すぐに「SRX02」のログが出力されているようで
すのでトリガーの状態はまた変化してしまうでしょう。
もう少し具体的に何をどう検知したいのか整理してみてください。
ただし、使用されているZabbixのバージョンが3.0とかなり古いの
で、複雑な条件は設定できない場合もあるのでご注意ください。