日志監控的功能
Zabbix-Agent支援對日志檔案的監控,可以對日志的關鍵字進行監控,然後告警。日志監控支援普通的日志檔案,也支援日志輪詢、切割的檔案。當日志中出現特殊的字元串(列如,警告、報錯等字元串)時,可以發送通知給使用者。為了使日志監控能夠正常使用,必須滿足以下條件:
- Zabbix-Agent必須運作,且工作方式為主動模式
- 日志的Item必須設定,必須指定檔案名
- Zabbix-Agent有讀取日志權限,如日志位于/home/使用者名/檔案中,則會因為權限的問題而導緻無法讀取到檔案
注意:zabbix日志監控必須工作于主動模式下,在web前端配置的主機名(宏為{HOST.HOST})必須和Zabbix-Agent端zabbix_agentd.conf中的Hostname值是一緻的,并且這個Hostname值具有唯一性:否則,在主動模式下是無法正常采集到資料的。
日志監控的監控名額
log[/path/to/file/file_name,<regexp>,<encoding>,<maxlines>,<mode>,<output>,<maxdelay>,<options>]
logrt[/path/to/file/reqexp_describing_filename_pattern,<regexp>,<encoding>,<maxlines>,<mode>,<output>,<maxdelay>,<options>]
log.count[/path/to/file/file_name, <regexp>,<encoding>,<maxproclines>,<mode>,<maxdelay>,<options>]
logrt.count[/path/to/file/reqexp_describing_filename_pattern, <regexp>,<encoding>,<maxproclines>,<mode>,<maxdelay>,<options>] | 參數 | 含義 |
| file_name | 日志檔案所在的路徑或絕對路徑檔案名 |
| regexp | 比對的正規表達式 |
| encoding | 在Linuxunix系統下預設編碼為UTF-8,在windows系統下預設編碼為ANSI |
| maxlines | 每次給zabbix-server或zabbix-proxy發送的日志最大行數,此參數值會高于zabbix_agentd.conf中的MaxLinesPerSecond參數值。通過此參數,可以控制一次發送的日志資料條數,如發送過多,可能會對Zabbix-Agent的負載和I/O有強大影響 |
| mode | All為預設參數,表示比對所有的日志,包括以前存在的日志也會進行比對 |
| skip表示跳過已經存在的日志資料,隻有新的日志才會進行比對 | |
| output | 表示比對輸出的正規表達式,1~9表示傳回比對的第幾個字元串,表示傳回比對的全部字元串。Zabbix3.2版本以後支援 |
| maxdelay | 以秒為機關的最大延遲,用于忽略老的日志資料,及時擷取目前的日志資料。Zabbix4.0版本以後支援。當處理的日志過多,在更新周期内達到maxlines的發送上限,但還有日志無法發送時,會導緻大量堆積,在嚴重情況下,會造成日志處理速度跟不上,這時使用此參數将忽略過期的日志發送 輸入的數值類型可以是浮點數(float) 0是預設值,永遠不會忽略日志檔案行 >0.0,忽略較舊的行,以獲得在maxdelay秒内分析的最新行,會丢棄在規定時間内無法發送的資料 |
| options | 日志輪詢、切割的方式。從zabbix4.0版本開始支援 rotate,日志輪詢、切割,預設值 copytruncate,先拷貝檔案,然後清空日志的輪詢方式。請注意:copytruncate不能與maxdelay一起使用,如使用此參數,maxdelay必須為0或未指定 |
日志監控ltem的配置
添加一個日志監控Item
日志監控的權限問題
如果zabbix使用者對日志沒有讀取權限,則會提示權限拒絕導緻資料擷取失敗(将zabbix_agentd程序開啟調試模式,就可以看到讀取日志權限被拒絕)。來檢視這個檔案的權限,由于普通使用者并沒有讀取權限,是以zabbix使用者也無法讀取到資料。
在這裡,為了示範如何解決這個問題而改變檔案的權限,使用如下指令:
[root@localhost log]# chown zabbix.root /var/log/secure 在最新資料中檢視自定義log的Iten,可以看到所有擷取到的資料
配置觸發器
測試功能
将報警資訊發送到企業微信群