zabbix4.0学习六：Zabbix监控日志

2023-05-16

zabbix4.0学习六：Zabbix监控日志

前言

我们希望监控日志，在日志出现特定标识或字符串时打印出日志，并邮件通知我们，以便我们手动处理。（当然使用动作可自动处理）。
zabbix能收集指定文件里的信息并展示出来。

原理

原理也很简单，zabbix-agent就是搜索指定文本文件里内容，通过正则表达式匹配关键字，如果匹配成功，则把该行信息主动发送给zabbix-server。由些延伸出一些条件或者是限制。

怎样保证搜索的是变化的文件内容而不是老数据
Zabbix Server和Zabbix Agent会追踪日志文件的大小和最后修改时间，并且分别记录在字节计数器和最新的时间计数器中，字节计数器和最新时间计数器的数据会被记录在Zabbix数据库，并且发送给Agent，这样能够保证Agent从上次停止的地方开始读取日志。
监控哪些日志
有单一的指定文件路径或者以正则表达式匹配路径方式，所有符合配置的文件，都会被监控。
检查周期
到每个Update interval的时间时，Agent会检查一次目录下的文件。
每秒传输最大行数
Zabbix Agent每秒发送日志量，有一个日志行数上限，防止网络和CPU负载过高，这个数字在zabbix_agentd.conf中的MaxLinePerSecond。
特殊情况
当日志文件大小小于字节计数器中的数字时，字节计数器会变为0，从头开始读取文件

最核心的概念就是zabbix会不停的处理变更的日志文件并发送到zabbix-server服务器时。

例子：监控tomcat日志

参考官网日志文件监控,重要。
目的：监控tomcat日志并收集带有8080字样的行信息
环境：
两台机器

名称	ip	作用
zabbix-server	192.168.2.33	zabbix服务器端
zabbix-agent	192.168.1.239	zabbix客户端

zabbix-agent

默认情况下，zabbix-agent主动和被动模式都开启的，如果没特定修改过，这里不用修改，除了ServerActive指向zabbix-server的ip外。

测试权限

必需测试zabbix对日志是否有读取权限，使用sudo命令切换身份执行命令。

sudo -u zabbix  cat /usr/local/tomcat/apache-tomcat-8.5.37/logs/catalina.out

如果能打印出来则表示有权限读取

配置监控项

找到主机192.168.1.239并添加监控项.
名称：随机
类型：zabbix客户端（主动式）
键值：log[/usr/local/tomcat/apache-tomcat-8.5.37/logs/catalina.out,8080,]
信息类型：日志
其它都默认即可
完整效果如下图：
在这里插入图片描述

测试

上面的配置是指定了/usr/local/tomcat/apache-tomcat-8.5.37/logs/catalina.out日志，并搜索带有8080字符串的行信息。
上面我说过，当日志文件大小小于字节计数器中的数字时，字节计数器会变为0，从头开始读取文件，catalina.out被覆盖为新输出日志时，表示它有了更新，zabbix-agent会从头开始读取文件。
故，重启tomcat，查看监测中->最新数据，输出如下

时间戳	当地时间	ֵ值
2019-02-19 09:37:03		
19-Feb-2019 09:37:02.699 信息 [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler ["http-nio-8080"]
2019-02-19 09:37:03		
19-Feb-2019 09:37:00.574 信息 [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["http-nio-8080"]
2019-02-19 09:37:03		
19-Feb-2019 09:36:55.632 信息 [main] org.apache.coyote.AbstractProtocol.destroy Destroying ProtocolHandler ["http-nio-8080"]
2019-02-19 09:37:03		
19-Feb-2019 09:36:55.627 信息 [main] org.apache.coyote.AbstractProtocol.stop Stopping ProtocolHandler ["http-nio-8080"]
2019-02-19 09:37:03		
19-Feb-2019 09:36:55.521 信息 [main] org.apache.coyote.AbstractProtocol.pause Pausing ProtocolHandler ["http-nio-8080"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:40.044 信息 [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler ["ajp-nio-8009"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:40.012 信息 [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler ["http-nio-8080"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:37.847 信息 [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["ajp-nio-8009"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:37.771 信息 [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["http-nio-8080"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:32.744 信息 [main] org.apache.coyote.AbstractProtocol.destroy Destroying ProtocolHandler ["ajp-nio-8009"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:32.743 信息 [main] org.apache.coyote.AbstractProtocol.destroy Destroying ProtocolHandler ["http-nio-8080"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:32.739 信息 [main] org.apache.coyote.AbstractProtocol.stop Stopping ProtocolHandler ["ajp-nio-8009"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:32.735 信息 [main] org.apache.coyote.AbstractProtocol.stop Stopping ProtocolHandler ["http-nio-8080"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:32.629 信息 [main] org.apache.coyote.AbstractProtocol.pause Pausing ProtocolHandler ["ajp-nio-8009"]
2019-02-19 09:00:42		
19-Feb-2019 09:00:32.605 信息 [main] org.apache.coyote.AbstractProtocol.pause Pausing ProtocolHandler ["http-nio-8080"]

总结

整个过程来看，指定了日志文件，使用正则表达式定义了需要匹配的关键字，zabbix即会从最新变化的日志里搜索出我们想要的行日志。其实说白了，就是对文件的处理，搜索类似文本的查找概念。

监控项介绍

zabbix有5个默认的日志监控项。
eventlog,log,log.count,logrt,logrt.count，其中eventlog只能在windows上使用。
参考Zabbix客户端-支持的监控项key

log

语法：log[file,,,,,,]
返回：被匹配的日志行
file:日志文件完整路径和名称
regexp:需要搜索的关键字符串或表达式
mode：all (默认值), skip - 跳过处理历史的数据（仅影响新创建的监控项）。
其它基本不用修改，可参考官网理解

log.count

语法：log.count[file,,,,,]
返回：被匹配的日志行数，整型
file:日志文件完整路径和名称
regexp:需要搜索的关键字符串或表达式
mode：all (默认值), skip - 跳过处理历史的数据（仅影响新创建的监控项）。
其它基本不用修改，可参考官网理解

logrt

logrt中，r是regexp，t是options
语法：logrt[file_regexp,,,,,,]
功能：支持监控轮询的日志文件。日志轮询是基于文件的最后修改时间。
返回：被匹配的日志行
file_regexp：文件名的正则表达式，例如"/home/zabbix/logs/^logfile[0-9]{1,3}$"，匹配logfile1,logfile12,logfile123
regexp:需要搜索的关键字符串或表达式
mode：all (默认值), skip - 跳过处理历史的数据（仅影响新创建的监控项）。
其它基本不用修改，可参考官网理解

logrt.count

语法：logrt.count[file_regexp,,,,,]
功能：支持对循环日志文件监控中匹配的行数。
返回：返回：被匹配的日志行数，整型
file_regexp：文件名的正则表达式，例如"/home/zabbix/logs/^logfile[0-9]{1,3}$"，匹配logfile1,logfile12,logfile123
regexp:需要搜索的关键字符串或表达式
mode：all (默认值), skip - 跳过处理历史的数据（仅影响新创建的监控项）。
其它基本不用修改，可参考官网理解

eventlog

语法：eventlog[name,,,,,,]
功能：windows事件日志监控。
打开方式：1. 控制面板->所有控制面板项->管理工具->事件查看器->windows日志查看事件，2. win+r打开，输入eventvwr.msc
参考Zabbix日志监控之监控Windows用户登录理解

触发器

比较常见的2个触发器条件如下
8080字符串匹配成功：{192.168.1.239:log[/usr/local/tomcat/apache-tomcat-8.5.37/logs/catalina.out,8080,].str(8080)}=1
60秒内有数据：{192.168.1.239:log[/usr/local/tomcat/apache-tomcat-8.5.37/logs/catalina.out,8080,].nodata(60)}=0
完整效果如下：
在这里插入图片描述

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)