Windowsイベントログ監視で「ZBX_NOTSUPPORTED」の原因について
お世話になります。長文で失礼します。
Windowsイベントログの監視を行いたいと考えております。
Zabbixサーバに登録したWindowsホストのeventlogアイテムのステータスが「取得不可」と表示され、
更にステータスの横に表示されるヒントマーク(!)に「Accessible only as active check」が表示されます。
Windowsホストにログインしてzabbix_agentdで既知アイテムの状態を確認したところ、
eventlogアイテムが"[m|ZBX_NOTSUPPORTED]"と出力されました。
以下、既知アイテムの確認を実施した際の内容となります。
■使用バージョン
WindowsホストのOS:Windows10 バージョン21H2(OSビルド 19044,1288)
Zabbixエージェント:zabbix_agent Win32 (service) (Zabbix) 5.0.42
Revision e25e9cfa36a 25 March 2024, compliation time: Mar 26 2024 09:50:58
ZabbixサーバのOS: Linux
Zabbixサーバ:5.0.21
■zabbix_agentd.confの内容 (コメントアウトしていない行のみ抜粋)
LogType=file
LogFile=C:\Program Files\Zabbix Agent\zabbix_agentd.log
DebugLevel=5
SourceIP=192.168.2.75 <--- ZabbixAgentがインストールされたWindowsクライアントのIPアドレス
Server=192.168.2.71 <-- ZabbixサーバのIPアドレス
ServerActive=192.168.2.71 <-- ZabbixサーバのIPアドレス
Hostname=testwin <-- ZabbixAgentがインストールされたWindowsクライアントのホスト名
RefreshActiveChecks=60
■既知アイテムの状態
C:\Program Files\Zabbix Agent> echo %username%
zabbixagent
C:\Program Files\Zabbix Agent> zabbix_agentd -c "C:\Program Files\Zabbix Agent\zabbix_agentd.conf" -p
: <省略>
system.users.num [d|3]
log[logfile] [m|ZBX_NOTSUPPORTED] [Accessible only as active check.]
log.count[logfile] [m|ZBX_NOTSUPPORTED] [Accessible only as active check.]
logrt[logfile] [m|ZBX_NOTSUPPORTED] [Accessible only as active check.]
logrt.count[logfile] [m|ZBX_NOTSUPPORTED] [Accessible only as active check.]
eventlog[system] [m|ZBX_NOTSUPPORTED] [Accessible only as active check.]
zabbix.stats[127.0.0.1,10051] [m|ZBX_NOTSUPPORTED] [Cannot obtain internal statistics: cannot connect to [[127.0.0.1]:10051]: [0x00002741] 要求したアドレスのコンテキストが無効です。]
web.page.get[localhost,,80] [m|ZBX_NOTSUPPORTED] [HTTP get error: bind() failed: [0x0000271E] 呼び出しでポインター引数を使用するときに、無効なポインター アドレスを検出しました。]
web.page.perf[localhost,,80] [m|ZBX_NOTSUPPORTED] [HTTP get error: bind() failed: [0x0000271E] 呼び出しでポインター引数を使用するときに、無効なポインター アドレスを検出しました。]
web.page.regexp[localhost,,80,OK] [m|ZBX_NOTSUPPORTED] [HTTP get error: bind() failed: [0x0000271E] 呼び出しでポインター引数を使用するときに、無効なポインター アドレスを検出しました。]
vfs.fs.size[c:,free] [u|18912235520]
: <省略>
■上記コマンドの実行ユーザー
---
C:\Program Files\Zabbix Agent> net user zabbixagent
ユーザー名 zabbixagent
フル ネーム
コメント
ユーザーのコメント
国/地域番号 000 (システム既定)
アカウント有効 Yes
アカウントの期限 無期限
最終パスワード変更日時 2024/05/29 13:32:20
パスワード有効期間 無期限
パスワード次回変更可能日時 2024/05/29 13:32:20
パスワードあり No
ユーザーによるパスワード変更可能 Yes
ログオン可能なワークステーション すべて
ログオン スクリプト
ユーザー プロファイル
ホーム ディレクトリ
最終ログオン日時 2024/05/29 16:03:45
ログオン可能時間 すべて
所属しているローカル グループ *Administrators
*Event Log Readers
*Users
所属しているグローバル グループ *なし
コマンドは正常に終了しました。
---
これまでに以下の確認を実施しましたが状況が改善しておりません。
1.別バージョンのZabbix Agentでも同じ状況でした。
最初にZabbixエージェントのバージョン(3.0.32)で実行しておりましたので、
バージョンをZabbixサーバに合わせて"5.0.21"に変更しましたが状況は改善しませんでした。
2.「Event Log Readers」グループで実行確認しましたが状況変わりませんでした。
ネットでヒントを探していたところ、「Event Log Readers」グループの権限が必要との内容を見かけましたので、
新たに「zabbixagent」を作成して、"Administrators"と"Event Log Readers"グループへ追加して、
実行しましたが状況は改善しませんでした。
今のところ、何かの原因でアクティブモードでzabbix_agentdが動作していないと推測しておりますが、
動作中のzabbix_agentdの動作モードを確認する方法等は有るのでしょうか。
他に"[m|ZBX_NOTSUPPORTED] [Accessible only as active check.]"が表示される原因として
何が知見が御座いましたらご教授頂けないでしょうか。
ama - 投稿数: 76
下記URLの事象ではないですか?
https://tech-wiki.pomme-verte.net/entry/%3Fp%3D780
higashi2024 - 投稿数: 5
お返事有難う御座います。
ご紹介頂きました事象とは異なる様です。
サーバ側に登録したアイテムのタイプは「Zabbixエージェント(アクティブ)」となります。
エージェント側で"[m|ZBX_NOTSUPPORTED]"が表示されているので、
エージェント側に原因があるのではないかと考えております。
何かお気付きの点が有ればご教授頂けますと幸いです。
ama - 投稿数: 76
以下情報を教えてください。
・Zabbixサーバのzabbix_server.logで事象に関連するログ
・監視対象のzabbix_agentd.logで事象に関連するログ
・事象が発生しているアイテムのZabbixサーバGUIでの登録情報(ホスト、アイテム)
higashi2024 - 投稿数: 5
ご返信ありがとうございます。
暫くフォーラムを確認できませんでしたので、お返事遅くなり申し訳ございません。
Zabbixサーバ側OSが所管外のため、担当へログ取得依頼が可能か確認中となります。
zabbix_agentd.logを改めて確認したところ、以下のログを発見しました。
---- zabbix_agentd.log -------
640:20240530:182930.408 active check configuration update from [192.168.2.71:10051] started to fail (cannot connect to [[192.168.2.71]:10051]: (null))
640:20240530:182930.410 End of refresh_active_checks():FAIL
------------------------------
サーバ側との通信に問題が有るかと思いますが、
zabbix_agentd.exeの「-p」オプションによるeventlogアイテムの"[m|ZBX_NOTSUPPORTED]"表示は
サーバ側との通信が正常でない場合も関係しているとの事でしたでしょうか。
ホストとアイテムの設定は以下の通りとなります。
■ホスト (設定->ホスト)
ホスト名:svepdwc01
表示名 :空欄
グループ:Templates
インターフェース:
[タイプ] エージェント
[IPアドレス] 192.168.2.75
[DNS名]空欄
[接続方法]IP
[ポート]10050
プロキシによる監視:(プロキシなし)
有効:チェック入り
■アイテム(設定->ホスト->アイテム)
名前:Windows eventlog
タイプ:Zabbixエージェント(アクティブ)
キー:eventlog[System]
データ型:ログ
監視間隔:60
アプリケーション:なし
有効:チェック入り
ama - 投稿数: 76
> ■zabbix_agentd.confの内容 (コメントアウトしていない行のみ抜粋)
> Hostname=testwin <-- ZabbixAgentがインストールされたWindowsクライアントのホスト名
> ■ホスト (設定->ホスト)
> ホスト名:svepdwc01
⇒zabbix_agentd.confのHostnameとZabbixサーバ側のホスト名は一致しているという認識で良いですか?
> 640:20240530:182930.408 active check configuration update from [192.168.2.71:10051] started to fail (cannot connect to [[192.168.2.71]:10051]: (null))
⇒Zabbixサーバの10051ポートは開いていますか?
higashi2024 - 投稿数: 5
お返事が遅くなり申し訳御座いません。
ご指摘頂いておりましたネットワーク周りの確認を行い、
イベントログの取得が正しく動作するようになりました。
以下の問題が発生しておりました。
1.サーバ側の10050,10051ポートが閉じていました。
ポート解放後、確認したところエージェント側のログは以下の状況でしたが、
イベントログは取得できませんでした。
・Zabbixの管理画面では、アイテムも有効(グリーン)表示になり、
画面上は全て正常に見えました。
・エージェント側のtオプションによる出力メッセージは変わらず。
C:> zabbix_agentd.exe -c c:\zabbix_agentd.conf -t eventlog[system]
eventlog[system] [m|ZBX_NOTSUPPORTED] [Accessible only as active check.]
・エージェント側ログに以下の出力が有りました。
End of refresh active checks():FAIL
2.クライアント側とサーバ側のhostファイルにZabbixサーバとWindowsクライアント(Zabbix_agent側)を追記した。
これにより、イベントログが正しく取得出来るようになりました。
・エージェント側のtオプションによる状況は以下の表示でした。
C:> zabbix_agentd.exe -c c:\zabbix_agentd.conf -t eventlog[system]
eventlog[system] [m|ZBX_NOTSUPPORTED] [Unsupported item key.]
その他、Windowsクライアント側の時計が大幅に狂っていたため修正しました。
当初は表題の[m|ZBX_NOTSUPPORTED]がイベントログ取得失敗の原因を表していると
考えておりましたが誤認だったようです。
お忙しいところ、ご助言承りまして有難う御座いました。
ama - 投稿数: 76
以下情報を教えてください。
・Zabbixサーバのzabbix_server.logで事象に関連するログ
・監視対象のzabbix_agentd.logで事象に関連するログ
・事象が発生しているアイテムのZabbixサーバGUIでの登録情報(ホスト、アイテム)
TNK - 投稿数: 4768
もしかして、zabbix_agentdの-tオプションで確認されたのですか?
そうであるならば、その方法では、eventlog[]アイテムの値は取得
して確認することはできません。
メッセージに「Accessible only as active check.」とあるように、
Zabbixサーバー側に設定して値が取得できることを確認してくださ
い。
値が取得できない場合は、ホストのアイテムの一覧を表示させると、
右側に赤い×印が表示されるので、そこにマウスのポインタを移動
させて値が取得できない理由を確認してみてください。
higashi2024 - 投稿数: 5
ご返信ありがとうございます。
暫くフォーラムを確認できませんでしたので、お返事遅くなり申し訳ございません。
ご認識の通り、「-t」と「-p」オプションで確認しました。
Zabbix画面のホストのアイテム一覧の×印にマウスポインタを移動させて表示したものも、
同様に「Accessible only as active check.」と表示されております。
こちらの環境では、エージェントに「-t」と「-p」オプションを付けた表示では、以下の通りとなります。
・当方で表示されるメッセージ
eventlog[system] [m|ZBX_NOTSUPPORTED] [Accessible only as active check!]
Googleで検索したとあるサイトで下記の表示がありましたので、
通常はエージェント側のアクティブモード設定の有無に限らず、
「-t」と「-p」オプションでの表示は、以下の様([m|ZBX_NOTSUPPORTED] が無く)に表示されるのが正しいと認識しておりました。
(誤認であればご教授頂けますと幸いです)
・エージェントが正しく動作している場合のメッセージと推測(Zabbixサーバとの通信の成否は無関係)※誤認でしょうか
eventlog[system] [m|Accessible only as active check!]
エージェントのログを確認したところ、サーバへのアクティブモード接続が失敗している模様です。
エージェントに「-t」と「-p」オプションを付けた表示でもアクティブモード接続が失敗した場合は、
[m|ZBX_NOTSUPPORTED]が表示されるかご存じでしょうか。
---- zabbix_agentd.log -------
640:20240530:182930.408 active check configuration update from [192.168.2.71:10051] started to fail (cannot connect to [[192.168.2.71]:10051]: (null))
640:20240530:182930.410 End of refresh_active_checks():FAIL
------------------------------
ご助言頂けますと幸いです。
よろしくお願いいたします。