日志监控原理

1、Zabbix Server和Zabbix Agent会追踪日志文件的大小和最后修改时间，并且分别记录在字节计数器和最新的时间计数器中。
2、Agent会从上次读取日志的地方开始读取日志。
3、字节计数器和最新时间计数器的数据会被记录在Zabbix数据库，并且发送给Agent，这样能够保证Agent从上次停止的地方开始读取日志。
4、当日志文件大小小于字节计数器中的数字时，字节计数器会变为0，从头开始读取文件。
5、所有符合配置的文件，都会被监控。
6、一个目录下的多个文件如果修改时间相同，会按照字母顺序来读取。
7、到每个Update interval的时间时，Agent会检查一次目录下的文件。
8、Zabbix Agent每秒发送日志量，有一个日志行数上限，防止网络和CPU负载过高，这个数字在zabbix_agentd.conf中的MaxLinePerSecond。

log文件的item解释

log[file,<regexp>,<encoding>,<maxlines>,<mode>,<output>,<maxdelay>]

file - 日志文件的全路径。
regexp - 过滤日志的正则表达式。
encoding - 字符编码，默认为英文单字节SBCS(Single-Byte Character Set)。
maxlines - agent每秒发送给server（或proxy）的数据的最大行数，这个参数会覆盖掉zabbix_agentd.conf配置文件里的’MaxLinesPerSecond’参数。
mode - 可填参数：all（默认），skip（跳过旧数据）。
output - 自定义格式化输出，默认输出regexp匹配的整行数据。转义字符’\0’表示regexp。
maxdelay-The ‘maxdelay’ parameter in log items allows ignoring some older lines from log files in order to get the most recent lines analyzed within the ‘maxdelay’ seconds.（这一句我翻译不准，所以上上英文~）
备注：我推荐大家使用第二个参数，如果只使用第一个参数，将会导致日志文件里的内容统统丢给zabbix_server记录。加上第二个参数时，过滤后的日志内容才会传给zabbix server，大大减少了日志内容占用的空间。

监控端 zabbix_Agentd.conf 的配置调整

zabbix客户端配置主动模式尤为重要。在/etc/zabbix/zabbix-agentd.conf中进行修改

LogFile=/tmp/zabbix_agentd.log
StartAgents=0          #客户端agent模式，设置为0表示关闭被动模式
Server=**.**.**.**   如果设置为纯被动模式，则应该注释掉这一条指令
ServerActive=**.**.**.**    #主动模式的server IP地址
Hostname=test_host    #重要：客户端的hostname，一般使用本机ip
RefreshActiveChecks=120    #被监控端到服务器获取监控项的周期，默认120s即可
BufferSize=200        #被监控端存储监控信息的空间大小
Timeout=10            #超时时间


创建监控项

在zabbix后台管理页面中，选中主机添加监控项。

其中：类型选择Zabbix客户端（主动式）
键值：log[/eric/error_log-20170724.log,”abc|yyy”,,,skip,,]
键值含义见前面item解释。
日志时间格式：yyyy-MM-dd hh:mm:ss，为“年－月－日：小时－分钟－秒”。
类型：Zabbix主动式。
zabbix agent检测分为主动（agent active）和被动（agent）两种形式，主动与被动的说法均是相对于agent来讨论的。简单说明一下主动与被动的区别如下：
主动：agent请求server获取主动的监控项列表，并主动将监控项内需要检测的数据提交给server/proxy
被动：server向agent请求获取监控项的数据，agent返回数据。

创建触发器

表达式：{zabbix:log[/etc/zabbix/a.log,"ERROR|error",,,skip,,].iregexp(ERROR|error)}=1 and  {zabbix:log[/etc/zabbix/a.log,"ERROR|error",,,skip,,].nodata(60)}=0

拆开解析：{zabbix:log[/etc/zabbix/a.log,"ERROR|error",,,skip,,].iregexp(ERROR|error)}=1 ，iregexp(ERROR|error)}=1 意味着如果匹配到ERROR和error关键字其中一个就告警，iregexp意味着正则表达式匹配。

                  {zabbix:log[/etc/zabbix/a.log,"ERROR|error",,,skip,,].nodata(60)}=0，nodata(60)}=0意味着如果60秒内有数据产生则表达式为真，即60秒内如果没有新数据了，则表达式为假，以防一直采集原有的关键字，不是采集新生成的关键字（重要）

　　　　　 and表示同时满足两个条件，触发器才会触发。

查看数据

手动添加此两个关键字的日志记录，然后在检测中——最新数据中，可以看到拦截这两个关键字的日志记录。出现此两个关键字说明拦截到。
在首页-仪表盘中会看到相关警报。

zabbix3.4.7主动模式监控日志(多关键字)的更多相关文章

1. 外网zabbix-server使用主动模式监控公司内网windows服务器

   外网zabbix-server使用主动模式监控公司内网windows服务器 1.Zabbix Agent active批量调整客户端为主动模式监控将Template OS Windows模板调整为主动 ...

2. Zabbix Agent active批量调整客户端为主动模式监控

   Zabbix Agent active批量调整客户端为主动模式监控 zabbix_server端当主机数量过多的时候,由Server端去收集数据,Zabbix会出现严重的性能问题,主要表现如下: 1. ...

3. Zabbix Agent active主动模式监控

   zabbix_server端当主机数量过多的时候,由Server端去收集数据,Zabbix会出现严重的性能问题,主要表现如下: 1.当被监控端到达一个量级的时候,Web操作很卡,容易出现502 2.图 ...

4. zabbix客户端一键安装脚本(主动模式监控)

   #!/bin/bash basepath=$(cd `dirname $0`; pwd)SHELL_DIR="${basepath}/shell"PACKAGE_DIR=&quot ...

5. zabbix 主动模式监控

   参考网站:  http://www.mamicode.com/info-detail-1724685.html http://www.cnblogs.com/dadonggg/p/8609674.ht ...

6. zabbix监控日志文件

   环境: 操作系统:centos 6.8  ,zabbix软件版本:zabbix 3.0.1 前提条件:zabbix客户端已经配置了主动模式,如何配置主动模式,请参考此文 监控日志keys 首先要了解k ...

7. Zabbix监控主动模式

   接上篇:Zabbix监控web,MySQL,TCP状态,Nginx 参考官方文档:https://www.zabbix.com/documentation/3.4/zh/manual zabbix默认 ...

8. zabbix agent主动模式与proxy模式，实现公网zabbix监控私网客户机

   zabbix agent主动模式,实现公网zabbix监控私网客户机 zabbix_server端当主机数量过多的时候,由Server端去收集数据,Zabbix会出现严重的性能问题,主要表现如下:  ...

9. Zabbix使用主动模式进行监控配置方法

   一直都是在用Zabbix的被动模式(即默认模式)进行监控. 但是总有些情况是不适用被动模式的,刚好工作上有这个需求,于是捣鼓了一下,发现配置起来也挺简单的. (1)Agent配置 修改Zabbix-a ...

随机推荐

1. target-densitydpi

   一个屏幕像素密度是由屏幕分辨率决定的,通常定义为每英寸点的数量(dpi).Android支持三种屏幕像素密度:低像素密度,中像素密度,高像素密度.一个低像素密度的屏幕每英寸上的像素点更少,而一个高像素 ...

2. Oracle数据库字段类型说明

   目前Oracle 数据库大概有26个字段类型,大体分为六类,分别是字符串类型.数字数据类型.日期时间数据类型.大型对象(LOB)数据类型.RAW和LONG RAW数据类型.ROWID和UROWID数据 ...

3. Joint Deep Learning for Pedestrian Detection笔记

   1.结构图 Introduction Feature extraction, deformation handling, occlusion handling, and classification ...

4. 一篇关于学C++的感想（拿来与大家分享）

   学计算机的如果你有耐心看下去,我敢保证这绝对是一种收获 期待爱 大师提醒: 计算机专业不是学编程,而是懂得计算机的工作原理,以及和计算机相关的学科技术.一个高手不必懂得编程,coder是最底层的人物, ...

5. 使用MyBatis3时 selectOne 方法返回null的问题记录

   不多废话,直接上干货. mapper配置: <resultMap type="User" id="usermap"> <result colu ...

6. HTML进阶

   HTML表单 form标签 <form> 标签代表一个表单,表单用于向服务器传输数据. 标签能够包含 <input> ,可以是文本字段,复选框,单选框或提交按钮等.还可以包含& ...

7. Vue-Router路由 Vue-CLI脚手架和模块化开发 之 路由常用配置与路由嵌套

   vue-router路由常用配置 1.mode:配置路由模式,默认为hash,由于URL很丑,可以修改为history,但是需要服务端的支持: 以上一篇的博文为实例: 初始时url的显示: 使用mod ...

8. hihoCoder 1233 &colon; Boxes（盒子）

   hihoCoder #1233 : Boxes(盒子) 时间限制:1000ms 单点时限:1000ms 内存限制:256MB Description - 题目描述 There is a strange ...

9. Java使用Redis学习笔记

   如果我们使用Java操作Redis, 需要确保已经安装了 redis 服务及 Java redis 驱动. Maven项目可以直接在pom.xml中加入jedis包驱动: <dependency ...

10. HBase的详细安装部署

    一.部署 1.Zookeeper正常部署,并且启动 2.Hadoop正常部署,并且启动 3.Hbase的解压 解压HBase到指定目录 tar -xvf  /HBase.tar.gz -C /airP ...