Zabbixのログ監視にて、規定秒数内に特定文字列が発生した場合
↓のURLにて、countで確認すれば良い、とあるが
いざ実際に試した所、はまってしまった箇所があった為のメモ
http://www.zabbix.jp/node/1904
####条件#### 「**/var/log/messages**」の中で文字列"**error**"を**10分間で5回以上検知**した場合にイベント発生
上記URLには以下のように記述されている
{Template OS Linux:log[/var/log/messages,,,,skip].count(600,"error")}>4 and {Template OS Linux:log[/var/log/messages,,,,skip].nodata(30)}=0
実際に使っているのは以下
{Template OS Linux:log[/var/log/messages,,,,skip].str(error)}=1 and {Template OS Linux:log[/var/log/messages,,,,skip].count(600,"error")}>4 and {Template OS Linux:log[/var/log/messages,,,,skip].nodata(30)}=0
####理由#### URLを参照した条件のみだと10分間で5回以上検知した場合にアラートが発生してしまう為、5回以上検知した後に別のログが追記されても関係無いログをアラートとして検知してしまう。
その為、下の条件式には"error"文字列を検知した場合の条件を追加した。
些細な事だった為、1日経って気付いたのでメモ。