syslog監視について
ログ監視についてご教示いただきたいです。
Zabbix Server/Agentについては7.0を使用しています。
現在、他プロダクトで行っているログ監視のzabbixへ移行を考えています。
syslogでメッセージのパターンに合致したもののみトリガーで障害検知を行いたいです。
syslog自体は、通知が整理されておらず秒間1000~3000行程度のファイルが複数ある状況です。
過去プロダクトの設定を踏襲して構築を目指しており、そちらのプロダクトでは個別に発報したいメッセージを正規表現でひっかけている状況でした。
正規表現は多いもので52種類のメッセージが入っています。
syslogサーバへZabbix Agentを入れ、アイテムのlogrtで正規表現マッチングへ入れたところ、マッチさせる正規表現が少ないものに関しては動作しましたが、52メッセージ(マクロへ記載してlogrtのregexへ設定)のものは徐々に遅延しagentとの疎通が取れなくなってしまいました。agentを再起動すると監視は復旧できます。
これに関しては、正規表現を簡易なものにする方法しかないでしょうか。キャッシュなどチューニングが可能なのか教えていただきたいです。
また、正規表現による負荷が大きいようでしたので、ログをすべてZabbix Serverへ取り込んだ後にトリガーで処理しようと考えたのですがZabbixAgentのMaxLinesPerSecondの動作がわかりませんでした。
初期設定(20)の状態で、500行のログを書き込んだところアイテムのタイムスタンプは1行目と500行目で同じ時刻で処理しているように見えました。20行の処理が終われば同じ秒数内でも次の20件を続けて処理してくれるということでしょうか?
最大値が1000のようだったので、秒間1000行以上のファイルは処理できないのかと思ったのですが、この辺りの挙動がわからず質問させていただきました。
また、MaxLinesPerSecondに関してはAgentの最大値であり、複数ファイルが監視対象となる場合は、すべてのファイルを合算して1000行ということなのでしょうか。
この度はじめてZabbixを触ったため手探りでうまく動作を確認が進められずこのような質問になってしまいましたが教えていただけると幸いです。