Я пытаюсь отслеживать файл журнала и получать оповещения на основе регулярного выражения.
используя zabbix 2.4.5
это элемент журнала, который я создал
и это триггер
Как вы можете видеть, я создал элемент как агент zabbix (активный), как требуется, и он правильно включен. но я все еще не получаю никаких уведомлений о сообщениях журнала, которые я ищу.
есть идеи?
Убедитесь, что в файле конфигурации агента на контролируемом хосте:
Параметр «Имя хоста» соответствует имени хоста во внешнем сервере. Серверы в параметре «ServerActive» указываются для обработки активных проверок. Пример:
/etc/zabbix/zabbix_agentd.conf:
Hostname=game.bingodrive.com
ServerActive=10.1.1.1
Затем проверьте, есть ли у пользователя zabbix Unix права на чтение файла:
# su - zabbix -c "tail $YOUR-FILE"
Обратите внимание, что триггерная функция "regexp" возвращает true (1), если строка была найдена, поэтому, если сообщение на втором снимке экрана является ошибкой, должно быть = 1, а не = 0.
Для Zabbix-мониторинга log файлов UNIX с элементами журнала крайне важно, чтобы рассматриваемый хост мог использовать активные проверки. Обычно это означает, что:
Агент должен быть настроен с ServerActive= и именем хоста zabbix сервера или прокси, который вы используете с этим хостом.
Имя хоста, настроенное Zabbix-сервером, совпадает с полным доменным именем или системным именем целевого (отслеживаемого) хоста.
Или, если это не так, агент должен быть настроен с HOSTNAME= и соответствующим именем хоста, настроенным для Zabbix-сервера.
Как указывали другие, агент (работающий как пользователь Zabbix) должен иметь доступ к файлу журнала, su zabbix -c "tail -1 logfile" - хороший способ проверить это. Если учетная запись zabbix отключена, используйте runuser -u zabbix tail -1 logfile . (замените logfile на файл для мониторинга).
При перезапуске агента проверьте его файл журнала на наличие сообщений об ошибках, таких как
no active checks on server [127.0.0.1:10051]: host [Zabbix server] not found
Это указывает на неправильную конфигурацию типа выше.
Если на сервере вы видите "НЕ ПОДДЕРЖИВАЕТСЯ" для этого элемента, возможно, это проблема с правами доступа к файлам.
Если вы все еще не видите свои сообщения, возможно, отправлено слишком много сообщений. По умолчанию Zabbix будет отправлять только 100 или около того в секунду, и он будет "догонять" только каждые 30 секунд (см. Ваш элемент).
Вы настроили триггер для просмотра только последнего элемента (regexp(...,#1)). Я думаю, что это правильно, но обычно вы просто опускаете ,#1 .
РЕДАКТИРОВАТЬ: Заменены sudo с runuser . Смотрите комментарии
Лучшая альтернатива для вас будет использовать вместо этого специализированный плагин. Zabbix, как и многие другие современные приложения для мониторинга, позволяет пользователям реализовывать собственные плагины. В вашем случае пользовательский плагин, который вам нужен, будет создан специально для проверки, мониторинга и оповещения о файлах журналов.
Примером такого инструмента является autoresolve.kl.sh
Процедура установки проста:
Замените '/home/jserver' на ваш каталог плагинов zabbix. Кроме того, убедитесь, что вы выполнили предыдущие команды установки от имени обычного пользователя - не root, если вы не тестируете.
Как только вышеуказанные шаги завершены. Теперь вы можете начать мониторинг журналов:
./autoresolve.kl.sh localhost /var /tmp /logXray, fixer, 0n-1y-2y, 0-uname, 1-who, 2-недельный аутонда /var /log /syslog 60m «приложение. * ошибка». ' 1 2 app_err_monitor -ndshow
Для простоты наиболее важные параметры, которые вам нужно изменить:
Для подробного объяснения того, что означает каждый параметр, вы можете посетить страницу справки напрямую.
На этой же странице справки вы также найдете пошаговые инструкции о том, как заставить этот инструмент работать с Zabbix ... то есть, какой файл конфигурации zabbix вам нужно обновить ... и какие настройки вам нужно иметь в zabbix веб интерфейс.