タイトルの通りですが、zabbix2.2を使用しており、ログ監視で正規表現(IPアドレスを対象)に該当する行を
取得し、連続して取得した場合にトリガーを発動させたいと考えております。
DR環境で、通常はログがないのですが、対象のログを継続して検出し始めた場合に、
特定のアクションを実行するのが目的です。
該当するログについては、出力し始めるとかなり大量に出てしまうため、DBへの負荷を心配しております。
maxlinesでなんとかなるのかなと試してみましたが、想定する動作にはなりませんでした。
どなたか、お力添え頂ければと思います。
log取得アイテムで難しければ、zabbix-senderで該当する行数だけ取得する方向で考えております。
ファイルに書き込まれた内容をZabbixSenderを使用して、アイテムのZabbixトラッパーに値を入れ込むことを検証しており、
1点うまくいかない事象があります。
ファイルの中身のUNIXTIMEの日付が2日前のものをアイテムに登録したいのですが、
コマンド上は正常に完了しているもののアイテムに値が登録されておりません。
【取り込むファイル】
# ls -la /tmp/***_20181228-4580-1m7z4ie
-rw------- 1 zabbix zabbix 54 Dec 28 02:15 /tmp/***_20181228-4580-1m7z4ie →「2018/12/28 11:15:00」にファイル作成
# cat /tmp/***_20181228-4580-1m7z4ie
***** ***** 1545790500 53066456.0 →「2018/12/26 11:15:00」
【ZabbixSenderの実行結果】
# zabbix_sender -z ***.***.***.*** -p ***** -T -i /tmp/***_20181228-4580-1m7z4ie
【環境】zabbixサーバ・・・CentOS7.5/zabbix 4.0.1
いつもお世話になっております。
Windowsサーバへユーザがログオン成功したことのみを監視したく、アイテム「eventlog」の
2つ目の引数<regexp>でログオンタイプ10のイベントを正規表現でひっかけたいのですがう
まく行きません。
この2つ目の引数の正規表現の指定方法に不備があるのでしょうか?
下の(3)の設定ではユーザがログオンした場合にイベントが発生するので正規表現は間違いない
と思っていますがアイテムでの設定方法が分からず困っております。
■やりたいこと
(1)アイテムでログオンタイプ:10のイベントログのみを収集したい
(2)Windows Serverのバージョンの違いにより、イベントログの「ログオン タイプ:<tab>10」
の行の<tab>の数が異なるので、eventlogの2つ目の引数で固定文字列ではなく正規表現で
tab数の違いを許容したい。
■以下アイテム設定を行ってみましたがWinイベントが発生してもデータ取得できませんでした
(1)正規表現に登録している「winlogon」を指定した場合
eventlog[Security,@winlogon,,,4624,,skip]
aisneyと申します。
現在、業務でzabbix3.0.15/3.0.10を利用して、
監視を行っております。
最近、アイテムが監視データを取り込まない事象が、
発生しております。アイテムの監視間隔は1分ですが、
4時間経っても更新されず。
(最新データからアイテムが取得しているデータ値や時間がずっと同じもの。
ただし、更新されているアイテムも存在する。pingはOKで、diskはNG等。
また、同じアイテムキーでも、とあるプロセスの監視アイテムだと更新されたりされなかったり)
なお、アイテムは、すべてテンプレートにて設定し、設定ミスなどがないことは確認済です。
(過去にその設定で監視ができており、アイテムを取得しなくなった)
zabbix-serverやagentのログには、らしきエラーは出力されていない。
インフラ(CPUやDISK、memory)もサーバ、クライアントとともに問題なし。
・対応内容
上記のようなステータス確認やログ確認。
サーバとクライアントの再起動を実施。
上記のような状態に対し、その他どのような解決のためのアプローチがあるか
お教えいただけると助かります。
1つは、効果があるかどうかわかりませんが
ログでデバッグモードを利用することかと思ってますが、
トリガー設定のうち、掲題のような復旧条件式が書けず、困っています。
やりたいことは次のとおりです。
(障害条件)直近10分間のICMP lossが3%を超えた場合
(復旧条件)60分間継続して直近10分間のICMP lossが3%を下回っていた場合
実は、現在は以下のように設定しているのですが、障害→復旧を異様に繰り返してしまっています。
(障害条件式){Template ICMP Ping:icmppingloss[,1,,,1000].avg(10m)}>3
(復旧条件式){Template ICMP Ping:icmppingloss[,1,,,1000].avg(60m)}<3 and {Template ICMP Ping:icmppingloss[,1,,,1000].avg(10m)}<3
なぜ間違っているのかは、理解できています。
“and”より前が、直近60分間のlossが3%を下回ったとき、ということになり、分母が10→60に大きくなった分、閾値が緩くなってしまうんですよね。
なので“and”以降を付け加えてみたのですが、うまくいきません... 理由は分かっているのですが、一体どうしたらよいのでしょうか?(T_T)
もし条件式ではできないようでしたら、アイテムの設定を工夫したらよいのでしょうか。
zabbix 3.4 を使用しています。
history_log が 22GBとなっており、DB領域のディスク使用率も80%超え、
history_log のディスク使用量が削減したいと考えています。
Forum 内の事例をいろいろ確認しましたところ、方法としては、
VACUUM FULLを実施するか、pg_dump でバックアップを取得後リストアする方法がありました。
この二つの方法はメリットとデメリットは何でしょうか?
どちらの方法を選べばいいかの判断方法などはありますでしょうか。
(ちなみに、検索した中で、VACUUM FULLを実施する方法が多く上げられました。)
Zabbixのホスト一覧や監視テンプレートなどのインポート機能において、インポート処理中に失敗した場合、
その時点までインポート処理をしていた設定は破棄されるのでしょうか?
もしくは保管されるのでしょうか?
オンラインマニュアル上は明記されていないと伺えますが、仕様ご存知の方はご教示頂けますと幸いです。
お世話になっております。
ZabbixでログのError監視をしているのですが、
Errorが発生した場合、メール通知の内容がErrorのログではなく、その後に出力されたログが表示されてしまいます。
以下行いたい場合の通知設定方法をご教示頂きたいです。
・Errorのログを表示させたい
・該当Errorログの後2~3個のログも一緒に表示させたい
以下はZabbixのバージョン、設定内容になります
◆Zabbixバージョン
4.0
◆通知設定内容
件名:本番:障害【{EVENT.NAME}】現在の値{ITEM.LASTVALUE}
本文:
障害が発生しています。
◆障害ホスト
{HOST.NAME}
◆発生日時
{EVENT.DATE} {EVENT.TIME}
◆サーバIPアドレス
{IPADDRESS}
◆監視名
{TRIGGER.NAME}
◆深刻度
{TRIGGER.SEVERITY}
◆状態
{TRIGGER.STATUS}
◆値
{ITEM.LASTVALUE}
◆Errorログのトリガー内容
条件式:
{datalakesprd01:logrt[/usr/dataanalytics/logs/^JOB_\d{4}-\d{2}-\d{2}.log$].str("ERROR")}=1
お疲れ様です。
ユーザのメディア設定を「Email」に設定し、通知用アドレスを追加したのですが、
追加直後30分以内に発生した通知アクションでは、追加分アドレスへの通知がされず、
1h後に発生した通知アクションの際に、追加分のアドレスへも通知が行われました。
設定から反映まで、タイムラグはございますでしょうか?
また、タイムラグを最小化する方法ございますでしょうか?(設定ミスなど...)
以下、Zabbixのバージョンと設定内容です。
・Zabbixバージョン
4.0
・設定内容
添付ファイルを参照ください。
お手数ですが、ご確認よろしくお願い致します。
zabbix:3.0.14
MariaDB:10.2.12
php:5.4
いつもお世話になっております。
ZabbixのユーザパスワードがDBに格納されていると思いますが、
暗号化方式はMD5でしょうか?
MariaDB [zabbix]> select alias,name,passwd from users;
+------------------+--------+----------------------------------+
| alias | name | passwd |
+------------------+--------+----------------------------------+
| Admin | Zabbix | <文字列> |
| guest | | <文字列> |
+------------------+--------+----------------------------------+
また、確認方法をご教授頂きたく。
宜しくお願い致します。
いつもお世話になっております。
恐れ入りますが、アドバイスいただけましたら幸いです。
この度、Zabbixを3.0.7から4.0.3へバージョンアップしました。
すると、今まで正常に監視できていたWeb監視がエラーになりました。
Last error message of scenarioの値は下記の通りです。
SSL connect error: SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message.
本Web監視は事情があり、監視URLをFQDN名ではなくグローバルIPアドレスを
使用しております。
これは証明書の示すURLと接続しているURLが異なることからエラーになって
居ると思っているのですが、バージョンアップにより何か関係する部分の仕様が
変わっているのでしょうか。
もし、回避策等含めアドバイスいただけることがありましたら、よろしくお願いいたします。
タイトルの通り、当該エラーにて失敗となってしまいます。
ただし、リモートコマンドの実行先であるZabbix serverではスクリプトログ等参照すると
正常に処理されているように見え、ハングしているプロセスやセッションが残っているといったことも確認できませんでした。
スクリプトの内容としては、以下のようなものとなります。
1.Zabbix Server経由でNW機器へSSH接続(PWはexpectによる自動応答)し、いくつかコマンドを実行。
2.NW機器への処理結果ログから、正常or異常を判定し、メールを送信。
上記の目的はすでに達成できているのですが、ダッシュボードから見ると失敗扱いとなってしまっております。
何か思い当たることがあればご教示頂ければと思います。
スクリプトタイプはSSHを指定しております。
Zabbix3.2.7 を使用し、Zabbix-Agentにて監視を行っています。
1台の監視対象のみ、system.uname の値が次のように不完全になる事象が発生しています。
毎回発生するわけではなく、正常に取得できる場合もありますがどのような
原因が考えられるでしょうか。
system.uname
Windows <unknown nodename> <unknown release> Microsoft Windows Server 2012 Standard x64
Windows <unknown nodename> 6.2.9200 Microsoft Windows Server 2012 Standard x64
Windows <unknown nodename> <unknown release> <unknown version> <unknown architecture>
お世話になります。
同様のスレッドがいくつかありましたが解決しないため投稿させていただきます。
Zabbixで監視対象のホストを追加したのですが、エージェント部分(ZBX)が赤く表示され、サーバーとエージェントが通信できません。
監視対象ホストのzabbix_agentd.logには表題のエラーが表示されます。
failed to accept an incoming connection: connection from "ゲートウェイのIP" rejected, allowed hosts: "zabbix-serverのDNS名"
DNSの名前解決と疎通は確認しており、
agent側で
nc -v -w 1 zabbix-serverのDNS名 -z 10051
server側で
nc -v -w 1 zabbix-agentのDNS名 -z 10050
を実行するとsucceededがでるので通信は問題ないのかと思っています。
切り分けとして監視対象ホストをZabbix serverと同じセグメントに置いたところエラーが解消されZBXが緑になりました。
FWは一時的に無効としています。
いつもお世話になっております。
特定のホストのZabbix Agentにおいて障害が発生します。
<環境>
Zabbix Server→Version 2.0.8 (CentOS 6.4)
Zabbix Agent →Version 2.0.18 (WindowsServer2008R2)
<障害内容>
決まった時間から「Zabbix agent on xxxx is unreachable for 10 minutes」が障害と復旧を繰り返します。Windows側でZabbix Agentのサービスを停止しても、プロセスにZabbix_Agentd.exeが残ったままとなり、taskkill /Fでも強制終了できない状態です。OS再起動すると正常に戻りますが、数日後に再発します。
Zabbix Agentのログを確認すると
「 PERF_COUNTER(): call to PdhOpenQuery() failed: [0x00000102] unable to find message text: [0x0000013D] メッセージ番号 0x%1 のメッセージ文が %2 のメッセージ ファイルに見つかりません。」
が大量に出力されていました。
### 前提・実現したいこと
centos7.6サーバで一つのサーバから複数のサーバにsshの公開鍵を転送したいです。
コマンドはssh-copy-id <ホスト名>
### 発生している問題
ssh-copy-id <ホスト名>
で行うと yes/no
転送先のパスワードが求められます。
転送先が多量のためできればシェルスクリプトで行いたいのですが
yes/no とパスワードを入力する例文を教えて頂けますでしょうか
### 該当のソースコード
#!/bin/sh
ssh-copy-id <ホスト名>
(yesを入力したい)
(パスワードを入力したい)
お世話になります。
原則、ログ監視アイテム1つに対し監視対象となるファイルは1つ(ローテはします)で、
設定をしているのですが。
logrtは、ファイル名の指定に正規表現を利用できるので、
ワイルドカード(.*)を利用しました。
すると、想定外ですが、複数のログファイルを対象に取ってしまいました。
疑問1
1つのログ監視設定で、複数の監視ファイルを、正常に監視できるのでしょうか?
疑問2
過去に通知したメッセージが、再度検知されました。
(その時、ログローテーションは発生してない)
正規表現で、複数のファイルが監視対象として適合するから、
次回どこからファイルを読み込めばよいのか判断できない状態になったのでしょうか?
(再度検知したメッセージは、1つのファイルにしか書き込んでいない。他のログファイルに記述はない)
以上、私自身検証する時間も知識もないため、不躾ながらお伺いをさせて頂きます。
よろしくお願い致します。
お世話になります。
シンプルな質問ですが、いろいろ考えても原因が分からないのでお伺いいたします。
説明を簡易にするため下記のように環境を定めます。
検知したい監視キーワード OutOfMemoryError
監視キーワード error (正規表現で大小区別なしを指定)
この検知したい監視キーワードが入ったメッセージ1行(java系ログ)を、
障害検知しないし、アイテムの監視データとして保存もしない。
ここまでなら、監視設定の不備かと思うのですが、
echo とリダイレクトで監視対象ファイルに、
検知したい監視キーワード1行全文をコピーして書き込むと、
正常に障害として検知します。
(補足:前後、大量のログ出力があるわけでもなく、全体で50行程度)
当然、ログにはエラーの類は出力されておりません。
アプローチの仕方は、デバッグレベルを上げて見るくらいでしょうか?
以上、知見ございましたら、ご教示のほどよろしくお願い致します。
zabbix-release.noarch 2.4-1.el6
このバージョンをインストールしようとすると、
file /usr/lib64/php/modules/fileinfo.so from install of php-common-5.3.3-49.el6.x86_64 conflicts with file from package php53u-common-5.3.29-1.ius.centos6.x86_64
コンフリクトエラーになっています
phpのバージョンは都合上、5.3.29から変えることができません
今のphpのバージョンにインストール可能なzabbixのバージョンを教えてください
いつもお世話になっております。
タイトルの件についてご教授頂きたく宜しくお願い致します。
現在、Zabbix4.0で監視サーバを作成し、
監視対象となるSolaris 10にAgentをインストールしたいと考えています。
ただ、現時点(2019/1/17)では
Solaris 10においてコンパイル済みのAgentが無いように見受けられます。
https://www.zabbix.com/jp/download_agents
このため、現時点ではソースからのインストールしかないと思いますが、
今後3.0のような形でコンパイル済みのパッケージが出てくると考えて宜しいのでしょうか。