Ciao,
avrei dei grossi problemi con la gestione del monitoring del registro eventi Windows di Zabbix (ovvero con l'item "eventlog").
In particolare avrei la necessità di effettuare il monitoring nel modo seguente:
1 - Controllare registro eventi e creare dei trigger che inneschino allarmi SOLO sugli eventi recenti (es: ultime 24 ore)
2 - Sugli eventi recenti effettuare check ESCLUDENDO UNA LISTA DI EVENT ID
3 - Possibilità di creare dei template standard di gestione memorizzando le informazioni dinamiche (come le liste degli id evento esclusi, che variano a seconda dell'host monitorato) mediante le MACRO UTENTE di Zabbix
Per adesso ho cercato di utilizzare alcune funzioni sui trigger:
eventlog[].nodata(sec)#1 => per considerare solo gli eventi recenti ho cercato di utilizzare questa funzione in combinazione (in &), per sapere se ho ricevuto o meno eventi nuovi nell'arco di tempo specificato
eventlog[].logeventid({$EXCLUDEDEVENTLIST})#1 => volevo utilizzarlo per sapere se ho avuto eventi diversi da quelli che ho specificato, magari passando la lista di eventi tramite macro utente, peccato che il check lo faccia su tutti gli eventi del registro memorizzati e non solo sui nuovi
Esse sono risultate INEFFICACI poichè effettuano il check su TUTTI GLI EVENTI catturati mediante l'item eventlog. Ovvero se mi interessa tutto il registro application non riesco a filtrare gli errori più vecchi.
Ho inoltre cercato di capire se potevo sfruttare per a questi scopi le macro di sistema che riguardano i log, ovvero:
{ITEM.LOG.AGE<1-9>}
{ITEM.LOG.DATE<1-9>}
{ITEM.LOG.EVENTID<1-9>}
{ITEM.LOG.NSEVERITY<1-9>}
{ITEM.LOG.SEVERITY<1-9>}
{ITEM.LOG.SOURCE<1-9>}
{ITEM.LOG.TIME<1-9>}
{ITEM.NAME<1-9>}
Peccato che il manuale di Zabbix non fornisca la benchè minima descrizione, oppure un esempio dal quale si possa intuirne il funzionamento.
Qualcuno ha qualche idea?
Grazie in anticipo!
Alberto
avrei dei grossi problemi con la gestione del monitoring del registro eventi Windows di Zabbix (ovvero con l'item "eventlog").
In particolare avrei la necessità di effettuare il monitoring nel modo seguente:
1 - Controllare registro eventi e creare dei trigger che inneschino allarmi SOLO sugli eventi recenti (es: ultime 24 ore)
2 - Sugli eventi recenti effettuare check ESCLUDENDO UNA LISTA DI EVENT ID
3 - Possibilità di creare dei template standard di gestione memorizzando le informazioni dinamiche (come le liste degli id evento esclusi, che variano a seconda dell'host monitorato) mediante le MACRO UTENTE di Zabbix
Per adesso ho cercato di utilizzare alcune funzioni sui trigger:
eventlog[].nodata(sec)#1 => per considerare solo gli eventi recenti ho cercato di utilizzare questa funzione in combinazione (in &), per sapere se ho ricevuto o meno eventi nuovi nell'arco di tempo specificato
eventlog[].logeventid({$EXCLUDEDEVENTLIST})#1 => volevo utilizzarlo per sapere se ho avuto eventi diversi da quelli che ho specificato, magari passando la lista di eventi tramite macro utente, peccato che il check lo faccia su tutti gli eventi del registro memorizzati e non solo sui nuovi
Esse sono risultate INEFFICACI poichè effettuano il check su TUTTI GLI EVENTI catturati mediante l'item eventlog. Ovvero se mi interessa tutto il registro application non riesco a filtrare gli errori più vecchi.
Ho inoltre cercato di capire se potevo sfruttare per a questi scopi le macro di sistema che riguardano i log, ovvero:
{ITEM.LOG.AGE<1-9>}
{ITEM.LOG.DATE<1-9>}
{ITEM.LOG.EVENTID<1-9>}
{ITEM.LOG.NSEVERITY<1-9>}
{ITEM.LOG.SEVERITY<1-9>}
{ITEM.LOG.SOURCE<1-9>}
{ITEM.LOG.TIME<1-9>}
{ITEM.NAME<1-9>}
Peccato che il manuale di Zabbix non fornisca la benchè minima descrizione, oppure un esempio dal quale si possa intuirne il funzionamento.
Qualcuno ha qualche idea?
Grazie in anticipo!
Alberto