Zabbixのログ監視にて、規定秒数内に特定文字列が発生した場合
↓のURLにて、countで確認すれば良い、とあるが
いざ実際に試した所、はまってしまった箇所があった為のメモ
http://www.zabbix.jp/node/1904
条件
「/var/log/messages」の中で文字列"error"を10分間で5回以上検知した場合にイベント発生
上記URLには以下のように記述されている
{Template OS Linux:log[/var/log/messages,,,,skip].count(600,"error")}>4 and {Template OS Linux:log[/var/log/messages,,,,skip].nodata(30)}=0
実際に使っているのは以下
{Template OS Linux:log[/var/log/messages,,,,skip].str(error)}=1 and {Template OS Linux:log[/var/log/messages,,,,skip].count(600,"error")}>4 and {Template OS Linux:log[/var/log/messages,,,,skip].nodata(30)}=0
理由
URLを参照した条件のみだと10分間で5回以上検知した場合にアラートが発生してしまう為、5回以上検知した後に別のログが追記されても関係無いログをアラートとして検知してしまう。
その為、下の条件式には"error"文字列を検知した場合の条件を追加した。
些細な事だった為、1日経って気付いたのでメモ。