zabbbix可以用於支持/不支持翻轉的日誌文件的集中監控與分析。
當一個日誌文件包含特定的字符或者字符模式時,zabbix向用戶發送報警信息。
要進行日誌文件監控,以下是必須的
zabbix客戶端代理(Zabbix agent)
設置日誌文件監控的監控項
被監控日誌文件的大小取決於大文件支持。
配置
確認客戶端代理參數
確保在客戶端代理文件中:
‘Hostname’這個參數的值跟前端定義的主機名是一樣的
‘ServerActive’ 這個參數值中的主機必須指定爲主動檢測
監控項配置
創建一個日誌文件監控的監控項:
要進行日誌監控,你必須輸入以下內容:
類型(type) 這裏選擇 Zabbix agent (active)
關鍵字(Key) 設置爲下面兩個之一
log[文件名格式:日誌文件路徑,,,,]
or
logrt[文件名個格式:日誌文件路徑,,,,]
舉個例子:
log[/var/log/syslog]
log[/var/log/syslog,error]
logrt[”/home/user/filelog_.*_[0-9]{1,3}”,”pattern_to_match”,”UTF-8”,100].
最後一個將從文件“filelog_abc_1”或者“filelog__001”中收集信息.
要獲得更多細節信息,參考log 和 logrt 全部信息,在 支持的客戶端代理監控項關鍵字這一章.
確保zabbix用戶對該文件有讀權限否則監控項狀態將被設置爲’unsupported’.
如果正則表達式存在,zabbix客戶端代理將用它來過濾整個日誌文件。
信息類型(Type of information) 這裏選擇Log。
檢查更新時間間隔,以秒計(Update interval) (in sec) 這個參數定義了zabbix客戶度代理多久檢查一次日誌文件中的變化。將它設置爲1秒確保你儘可能快的獲得日誌文件改變的新記錄。
登錄時間格式
(Log time format 支持的佔位符:
* y: 年 (0001-9999)
* M: 月 (01-12)
* d: 日 (01-31)
* h: 小時 (00-23)
* m: 分鐘 (00-59)
* s: 秒 (00-59)
如果留空時間戳不會被解析
舉個例子,分析下面一行來自zabbix客戶端代理的日誌文件:
” 23480:20100328:154718.045 Zabbix agent started. Zabbix 1.8.2 (revision 11211).”
以六個字符開始,作爲PID,後面更這日期,時間和其他部分。
這一行的日誌文件時間格式將是 “pppppp:yyyyMMdd:hhmmss”.
注意: “p” 和 ”:” 這兩個字符僅僅是佔位符,它可以是任何字符除“yMdhms”.
重要提醒
服務器端和客戶端代理在兩次監控之間記錄被監控文件大小和最新修改時間(logrt支持)。
客戶端代理從它之前停止監控的地方開始監控日誌。
已經分析的字節數(大小計數器)和最新修改時間(時間計數器)被存儲在zabbix數據庫中併發送到客戶端代理以確保從該點開始讀取日誌文件。
一旦日誌文件大小小於客戶端代理的日誌文件計數器中的記錄,計數器會被清零。客戶端代理從頭讀取日誌文件,並且考慮重設計數器。
在給定的目錄中,匹配參數filename格式的所有文件,在zabbix 客戶端代理試圖從日誌文件中獲得訪問時間時都會被分析。 (logrt支持).
如果目錄下面有幾個文件明都匹配從參數中指定的並且擁有相同的最後修改時間,那麼客戶端代理將分析按字典排序排在前面的那個。
zabbix客戶端代理(Zabbix agent)在每個更新時間間隔(Update interval seconds)分析一次一個日誌文件中的新增記錄。
客戶端代理(Zabbix agent)一秒內發送的日誌條目不會超過maxlines這個參數指定的值。這個限制預防了網絡和CPU資源過載以及在客戶端代理配置文件中參數MaxLinesPerSecond提供的默認值。
特別注意路徑分隔符”\” :如果文件格式是 “file\.log”, 那麼路徑裏面不能有目錄存在, 因爲不能明確定義 ”.” 被轉義了或者是文件名的第一個字符。
logrt 的正則表達式只支持文件名,目錄的正則匹配還不支持。
說明:我在做日誌監控的時候最新數據裏一直都得不到數據找人幫忙排查半天也沒看出哪的錯誤,總是糾結是不是日誌格式的錯誤,日誌中也無報錯 仔細閱讀文章後發現 zabbix客戶端配置文件中 Hostname(主機名) ServerActive(zabbix服務端servername/ip) 的這兩個參數 一般ServerActive這個參數是默認註釋掉的 如果沒有指定最新數據裏是得不到數據的