Zabbix監控網絡裝置日志檔案及字段報警

Zabbix監控網絡裝置日志檔案及字段報警

一、首先就是配置網絡裝置日志傳送到zabbix存放日志的指定目錄，一般目錄為/var/log/

需要配置rsyslog.conf

根據需求添加tcp或者udp或者都添加字段

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

添加定義存放目錄檔案字段：

# Save Debug Message of Netscreen(x.x.x.65) to ns.log

local1.*                                          /var/log/juniper.log  //日志存放位置

做完最好重新開機一下服務：

/etc/init.d/rsyslog restart

二、建立一個日志檔案監控項目

在這裡借用zabbix server主機，添加log項，進行監控。

<a href="http://s3.51cto.com/wyfs02/M01/59/7E/wKiom1TUVROTmeL-AAEwBc_YVrk783.jpg" target="_blank"></a>

1，選擇applications 單機→create application；名字定義Log，單機Add 完成。

<a href="http://s3.51cto.com/wyfs02/M01/59/7A/wKioL1TUVgvzDNLjAAI5cmIQpKc168.jpg" target="_blank"></a>

2，選擇Items 單機→create item；

Name：定義代表性

Type ：選擇Zabbix agent（active）

Key  ：key就是log日志檔案存放的目錄加檔案名，例：log[/var/log/juniper.log]

Type of information：選擇Log

Applications：選擇剛才定義好的Log

Enabled：勾選

update：單機，完成。

<a href="http://s3.51cto.com/wyfs02/M02/59/7A/wKioL1TUVhugnflMAAIDZW9flkk201.jpg" target="_blank"></a>

三、檢視日志；

首頁→Monitoring→Latest data

<a href="http://s3.51cto.com/wyfs02/M02/59/7E/wKiom1TUVTewVkQeAAMHxO40fDw131.jpg" target="_blank"></a>

Hosts：→select 單機選擇zabbix server ；

Applicaton：→select 單機選擇Log(上邊定義好的)

單機Filter，出現如下：

<a href="http://s3.51cto.com/wyfs02/M00/59/7A/wKioL1TUVjDT2mjjAADho30oZMs810.jpg" target="_blank"></a>

單機history 即可檢視防火牆的所有日志了。

<a href="http://s3.51cto.com/wyfs02/M01/59/7E/wKiom1TUVUvxlBdNAAHOb8pacsk119.jpg" target="_blank"></a>

如果覺得不太好看，還有一種text的網頁形式：

單機As plain text

<a href="http://s3.51cto.com/wyfs02/M00/59/7A/wKioL1TUVkPy3zXRAAKG2wkuNsE647.jpg" target="_blank"></a>

看效果：

<a href="http://s3.51cto.com/wyfs02/M00/59/7E/wKiom1TUVV-gPO-wAAJkaTDdLso264.jpg" target="_blank"></a>

四、定義Triggers；重新回到界面：

<a href="http://s3.51cto.com/wyfs02/M01/59/7A/wKioL1TUVleCYLDUAAFRIv3mODo310.jpg" target="_blank"></a>

選擇Triggers→單機create trigger

Name：定義有代表意義的

Expression：語句參考如下，我這裡是定義有字元串alerts的進行報警

(({Zabbix server:log[/var/log/juniper.log].iregexp(alerts)})&lt;&gt;0)

多個條件如下：

((({Zabbix server:log[/var/log/juniper11.log].iregexp(login)})&lt;&gt;0) or 

(({Zabbix server:log[/var/log/juniper11.log].iregexp(Close)})&lt;&gt;0))

Multiple PROBLEM events generation：勾選：代表多次報警的時候發送多次報警郵件；不勾選：代表多次報警隻發送一次，其中間隔看個人action設定

Description：描述

Severity：根據報警資訊所定義的報警級别

Enabled：勾選，啟用該觸發

單機update 完成

<a href="http://s3.51cto.com/wyfs02/M01/59/7E/wKiom1TUVXLCE6xxAAHadYOM-_c456.jpg" target="_blank"></a>

首頁→Monitoring→Triggers 可以檢視目前系統所有的觸發資訊。

可以自己定義一些容易出現的字段做測試。

l zabbix顯示日志資訊不及時，或者顯示不全，就到檢視日志去，如下：

zabbix_server.log 日志提示如下資訊：

“please increase ValueCacheSize configuration parameter”

緩存不足，預設是8M

解決辦法：

打開zabbix_server.conf 找到 Option: CacheSize

把原來的 # CacheSize=8M  前面的#注釋去掉，将8M修改為1024M，這個1024M根據伺服器性能修改。

更改前：

vi zabbix_server.conf

### Option: VMwareCacheSize

#       Size of VMware cache, in bytes.

#       Shared memory size for storing VMware data.

#       Only used if VMware collectors are started.

#

# Mandatory: no

# Range: 256K-2G

# Default:

# VMwareCacheSize=8M

更改後：

### Option: CacheSize

# Size of configuration cache, in bytes.

# Shared memory size for storing host, item and trigger data.

# Range: 128K-8G

CacheSize=1024M 

重新開機服務

/etc/init.d/zabbix-server restart 

恢複正常

     本文轉自506554897 51CTO部落格，原文連結：http://blog.51cto.com/506554897/1612329，如需轉載請自行聯系原作者