●はじめに
ログ監視についてのナレッジを忘れないようメモします。
たまったら見やすくまとめて1つの記事にする予定です。
●参考
- Zabbix統合監視実践入門
●ナレッジ
1.ログ監視の概要/特徴
- ログ監視は、アイテムのタイプが「Zabbixエージェント(アクティブ)」の場合にのみ利用できる
- ログ監視は「テキストファイルに追記される形式のログファイル」「Windowsイベントログ」で利用可能
- テキストログの監視には、logまたはlogrtキーを使用する
- テキストログファイルに関しては、1行を1ヒストリデータと換算してZabbixサーバーに送る
2.テキストログ用のアイテムキー「log/logrt」
-
logキー
監視対象のログファイルを固定で指定し、追記されたログを読み込む。ログファイルがローテーションされた場合、そのログファイルを先頭から読み直す。 -
logrtキー
監視対象のログファイルを正規表現で指定。指定した正規表現に一致するファイルをリストし、その中の最新ファイルに追記されたログを読み込む。ログファイルがローテションされた場合、直前まで読んでいたログファイルを末尾まで読んでから最新のファイルを先頭から読む。
3.ローテーションの形式
-
move形式のログローテーション
現在のログファイル名を変更し、最新のログファイルを新規作成する形式のローテーション。 -
copyruncate形式のログローテーション
現在のログファイルをコピーし、最新のログファイルを0バイトに切り詰める形式のローテーション。
補足
- Zabbix4.0以降のエージェントはmove/copyruncateの両方に対応し、Zabbix3.4以前のエージェントはmove形式のみ対応
- 以下の場合は、ログの追記メッセージやローテーションを正しく検知できず、ファイルを読み直しが起こる可能性があるため注意
- ログファイルの形式が追記型ではない場合
- Zabbixエージェントのバージョンと比較して、対応していないローテーション方式のログファイルを監視した場合