ZABBIXのログ監視の仕様についてご教授ください。
アイテムキーeventlogでのログ監視を検討しています。
Windowsセキュリティログから特定のイベントを検知したいと考えており
下記のように、イベントID指定でログが取得された場合にトリガーするよう設定することを考えています。
{xxx:eventlog[Security,,,,1511,,].nodata(30m)}=0
ここでアイテムキーeventlogでのログ取得の負荷について懸念しているのですが
以前、別アイテムキー log[*] を設定した際に、監視対象のZABBIX AgentのCPU使用率が高騰して監視不可状態になってしまったことがありました。
ある資料(http://www.oss-kanri.org/siryou/study2_MLmiyashita.pdf)を読み、ZABBIXのログ監視が高負荷になる理由について下記の理解をしたのですが
アイテムキーeventlogについても、仕様は同じなのでしょうか。
‐ ZABBIX Agentはlastlogsize(ログファイルをどこまで読んだかというしおりのようなもの)を自身のメモリ上に保持している