Documentation

1 手动结构
2 什么是 Zabbix
3 项 Zabbix 功能
4 Zabbix 概览
5 Zabbix 6.0.0 新特性
6 Zabbix 6.0.1 的新特性
7 Zabbix 6.0.2 新特性
8 Zabbix 6.0.3 新特性
9 Zabbix 6.0.4 新特性
10 Zabbix 6.0.5 新特性
11 Zabbix 6.0.6 新特性
12 Zabbix 6.0.7 新特性
13 Zabbix 6.0.8 新特性
14 Zabbix 6.0.9 新特性
15 Zabbix 6.0.10 新特性
16 Zabbix 6.0.11 新特性
17 Zabbix 6.0.12 的新特性
18 Zabbix 6.0.13 新特性
19 Zabbix 6.0.14 版本新特性
20 Zabbix 6.0.15 新特性
21 Zabbix 6.0.16 新特性
22 Zabbix 6.0.17 的新特性
24 Zabbix 6.0.19 新特性
25 Zabbix 6.0.20 新特性
26 Zabbix 6.0.21 的新特性
27 Zabbix 6.0.22 的新特性
28 Zabbix 6.0.23 新特性
29 Zabbix 6.0.24 新特性
30 Zabbix 6.0.25 的新特性
31 Zabbix 6.0.26 新特性
32 Zabbix 6.0.27 新特性
33 Zabbix 6.0.28 新特性
34 Zabbix 6.0.29 新特性
35 Zabbix 6.0.30 新特性
37 Zabbix 6.0.32 的新特性
38 Zabbix 6.0.33 的新特性
39 Zabbix 6.0.34 新特性
40 Zabbix 6.0.35 新特性
41 Zabbix 6.0.36 新特性
42 Zabbix 6.0.37 新特性
43 Zabbix 6.0.38 新特性
44 Zabbix 6.0.39 新特性
45 Zabbix 6.0.40 新特性
46 Zabbix 6.0.41 新特性
47 What's new in Zabbix 6.0.42
Zabbix 6.0.18 的新特性
Zabbix 6.0.31 的新特性
2 定义
1 高可用性
2 Agent
3 Agent 2
4 Proxy
1 从源代码安装
2 从 RHEL 软件包安装
3 从Debian/Ubuntu软件包安装
6 Sender
7 获取
8 JS
9 Web 服务
1 获取 Zabbix
1 Zabbix 安全配置最佳实践
1 在Windows上构建Zabbix agent
2 在Windows上构建Zabbix agent 2
3 在macOS上构建Zabbix agent
1 红帽企业版 Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Windows agent 通过 MSI 安装
5 从PKG安装Mac OS agent
6 个不稳定版本
OpenShift 环境安装
1 Debian/Ubuntu 前端安装
1 从源代码升级
1 红帽企业版 Linux
2 Debian/Ubuntu
1 编译 问题
9 模板变更
10 6.0.0 版本升级注意事项
11 6.0.1 更新说明
12 6.0.2 版本升级说明
13 6.0.3 版本升级说明
14 6.0.4 版本升级说明
15 6.0.5 版本升级说明
16 6.0.6 版本升级说明
17 6.0.7 版本升级说明
18 6.0.8 版本升级说明
19 6.0.9 版本升级说明
20 6.0.10 版本升级说明
21 6.0.11 版本升级说明
22 6.0.12 升级说明
23 6.0.13 版本升级说明
24 6.0.14 版本升级说明
25 6.0.15 版本升级说明
26 6.0.16 版本升级说明
27 6.0.17 版本升级说明
28 6.0.18 版本升级说明
29 6.0.19 版本升级说明
30 6.0.20 版本升级说明
31 6.0.21 版本升级说明
32 6.0.22 版本升级说明
33 6.0.23 版本升级说明
34 6.0.24 版本升级说明
35 6.0.25 版本升级说明
36 6.0.26 版本升级说明
37 6.0.27 版本升级说明
38 6.0.28 版本升级说明
39 6.0.29 版本升级说明
40 6.0.30版本升级说明
41 6.0.31 版本升级说明
42 6.0.32 版本升级说明
43 6.0.33 版本升级说明
44 6.0.34 版本升级说明
45 6.0.35 版本升级说明
46 6.0.36 版本升级说明
47 6.0.37 版本升级说明
48 6.0.38 版本升级说明
49 6.0.39 版本升级注意事项
50 6.0.40 版本升级说明
51 6.0.41 版本升级说明
52 Upgrade notes for 6.0.42
1 登录与用户配置
2 新主机
3 新建 监控项
4 新触发器
5 接收问题通知
6 新模板
6 Zabbix设备
1 触发器事件生成
2 其他事件源
3 手动关闭问题
1 配置主机
2 配置主机组
3 资产清单
4 批量更新
1 监控项 键格式
2 自定义间隔
1 使用示例
2 预处理详情
1 从JSONPath中的LLD宏值转义特殊字符
1 附加 JavaScript objects
5 CSV 到 JSON 预处理
1 监控项 键值特定于 agent 2
2 个 Windows 特定的 监控项 键
1 动态索引
2 个特殊 OID
3 MIB文件
3 SNMP陷阱
4 项 IPMI 检查
1 VMware 监控 监控项 键值
6 日志文件监控
1 聚合计算
8 项内部检查
9 SSH检查
10 Telnet检查
11 外部检查
12 Trapper 监控项
13 JMX 监控
1 针对 MySQL 的推荐 UnixODBC 设置
2 针对 PostgreSQL 的推荐 UnixODBC 设置
3 适用于 Oracle 的推荐 UnixODBC 设置
4 个适用于 MSSQL 的推荐 UnixODBC 设置
15 依赖 监控项
16 HTTP agent
17 个 Prometheus 检查
18 脚本监控项
4 历史数据与趋势
1 扩展 Zabbix agents
6 可加载模块
7 个 Windows 性能计数器
8 批量更新
9 值映射
10 队列
11 值缓存
12 立即执行
13 限制 agent 检查
1 构建可加载插件
1 配置触发器
2 触发器表达式
3 触发器依赖
4 触发器严重性
5 自定义触发器严重性级别
6 批量更新
7 种预测性触发器函数
1 基于触发器的事件关联
2 全局事件关联
6 标记
1 简单图表
2 个自定义图表
3 个临时图表
4 图表中的聚合
1 配置网络拓扑图
2 个主机组元素
3 个链接指示器
3 仪表板
4 主机仪表盘
1 配置模板
2 关联/取消关联
3 嵌套
4 批量更新
1 Zabbix agent模板操作
2 Zabbix agent 2模板操作
3 HTTP模板操作
4 IPMI模板操作
5 JMX模板操作
6 ODBC模板操作
7 个标准化网络设备模板
1 电子邮件
2 条短信
3 自定义告警脚本
1 Webhook 脚本示例
1 条件
1 发送消息
2 远程命令
3 附加操作
4 在消息中使用宏
3 恢复操作
4 更新操作
5 Escalations
3 接收关于不受支持的 监控项 的通知
1 宏函数
2 用户宏
3 个带上下文的用户宏
4 低级发现宏
5 个表达式宏
1 配置用户
2 权限
3 个用户组
13 密钥存储
14 计划报告
1 服务树
2 服务操作
3 SLA
4 设置示例
1 Web 监控
2 实际场景
1 虚拟机发现关键字段
11 维护
12 正则表达式
13 问题确认
1 主机组
2 模板
3 主机
4 网络拓扑图
5 媒体类型
1 配置网络发现规则
2 个活跃的 agent 自动注册
1 监控项原型
2 触发器原型
3 图表原型
4 低级发现注意事项
1 已挂载文件系统的发现
2 网络接口发现
3 CPU 与 CPU 核心的发现
4 SNMP OID 发现
5 JMX 发现 objects
6 IPMI 传感器发现
7 systemd 服务发现
8 Windows 服务发现
9 Windows性能计数器实例的发现
10 使用 WMI 进行发现 queries
11 使用 ODBC SQL 进行发现 queries
12 使用 Prometheus 数据进行发现
13 块设备发现
14 Zabbix 中的主机接口发现
6 条自定义 LLD 规则
1 Proxies
1 使用证书
2 使用预共享密钥
1 连接类型或权限问题
2 个证书问题
3 个 PSK 问题
1 菜单
1 操作日志
2 时钟
3 数据概览
4 发现状态
5 收藏图表
6 收藏地图
7 地理地图
8 图形
9 图形(经典)
10 图形原型
11 主机可用性
12 监控项 值
13 地图
14 地图导航树
15 纯文本
16 问题主机
17 问题
18 按严重程度分类的问题
19 SLA 报告
20 系统信息
21 Top 主机
22 触发器概览
23 URL
24 Web 监控
2 问题
1 图表
2 Web 场景
4 最新数据
5 地图
6 发现
1 服务
2 服务操作
3 SLA
4 SLA 报告
1 概览
2 主机
1 系统信息
2 计划报告
3 可用性报告
4 触发器 Top 100
5 审计
6 操作日志
7 通知
1 主机组
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
4 维护
5 动作
6 事件关联
7 发现
1 概述
2 Proxies
3 认证
4 个用户组
5 用户角色
6 用户
7 媒介类型
8 脚本
9 队列
1 全局通知
2 浏览器声音
4 全局搜索
5 前端维护模式
6 页面参数
7 定义
8 创建自定义主题
9 调试模式
10 Zabbix 使用的 Cookies
11 时区
12 密码重置
apiinfo.version
> LLD 规则 object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Web 场景 object
httptest.create
httptest.delete
httptest.get
httptest.update
> 主机 object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> 主机原型 object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> 主机接口 object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> 主机组 object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> 事件 object
event.acknowledge
event.get
> Token object
token.create
token.delete
token.generate
token.get
token.update
> 仪表盘 object
1 Action log
2 时钟
3 数据概览
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 地理地图
8 图形
9 图形(经典)
10 图形原型
11 Host availability
12 监控项 值
13 地图
14 地图导航树
15 纯文本
16 问题主机
17 问题
18 按严重程度分类的问题
19 SLA 报告
20 System information
21 Top 主机
22 触发器概览
23 URL
24 Web 监控
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> 任务 object
task.create
task.get
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
值映射 object
correlation.create
correlation.delete
correlation.get
correlation.update
关联 object
> 操作 object
action.create
action.delete
action.get
action.update
> 历史记录 object
history.clear
history.get
dcheck.get
发现检查 object
> 发现规则 object
drule.create
drule.delete
drule.get
drule.update
> 告警 object
alert.get
> 镜像 object
image.create
image.delete
image.get
image.update
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
图标映射 object
> 图表 object
graph.create
graph.delete
graph.get
graph.update
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
图形原型 object
> 图表 监控项 object
graphitem.get
> 映射 object
map.create
map.delete
map.get
map.update
> 媒介类型 object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> 审计日志 object
auditlog.get
> 已发现主机 object
dhost.get
> 已发现服务 object
dservice.get
> 报告 object
report.create
report.delete
report.get
report.update
> 数据清理 object
housekeeping.get
housekeeping.update
> 服务 object
service.create
service.delete
service.get
service.update
sla.create
sla.delete
sla.get
sla.getsli
sla.update
SLA object
> 模板 object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> 模板仪表盘 object
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> 正则表达式 object
regexp.create
regexp.delete
regexp.get
regexp.update
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
用户 object
> 用户宏 object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> 用户组 object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> 监控项 object
item.create
item.delete
item.get
item.update
> 监控项 原型 object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> 维护 object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> 脚本 object
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> 自动注册 object
autoregistration.get
autoregistration.update
> 角色 object
role.create
role.delete
role.get
role.update
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
触发器 object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
触发器原型 object
> 认证 object
authentication.get
authentication.update
> 设置 object
settings.get
settings.update
> 趋势 object
trend.get
configuration.export
configuration.import
configuration.importcompare
> 问题 object
problem.get
> 高可用节点 object
hanode.get
Zabbix API 在 6.0 版本中的变更
附录 1. 参考注释
附录 2. 从 5.4 到 6.0 的变更
20 模块
1 数据库创建
2 修复Zabbix数据库字符集与排序规则
3 数据库升级至主键
1 MySQL 加密配置
2 PostgreSQL 加密配置
5 TimescaleDB 设置
6 Elasticsearch 配置
7 事件、监控项值和趋势的实时导出
8 针对 Zabbix 设置 nginx 的发行版特定说明
9 以 root 身份运行 agent
10 Zabbix agent 在 Microsoft Windows 上
11 使用Microsoft Entra ID配置SAML
12 使用 Okta 的 SAML 设置
13 Oracle 数据库设置
14 设置定时报告
15 附加前端语言
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph 插件
2 Docker 插件
3 Ember+ 插件
4 Memcached 插件
5 Modbus 插件
6 MongoDB 插件
7 MQTT 插件
8 MSSQL 插件
9 MySQL 插件
10 Oracle 插件
11 PostgreSQL 插件
12 Redis 插件
13 SMART 插件
8 Zabbix Java gateway
9 Zabbix Web 服务
10 包含
1 服务器-proxy 数据交换协议
2 Zabbix agent 协议
3 Zabbix agent 2 协议
4 Zabbix agent 2 插件协议
5 Zabbix sender 协议
6 标题
7 实时导出协议
1 监控项 平台支持
2 个 vm.memory.size 参数
3 被动与主动 agent 检查
4 捕获器 监控项
5 Windows agent 监控项 的最低权限级别
6 返回值编码
7 大文件支持
8 传感器
9 proc.mem 监控项中 memtype 参数的使用说明
10 关于在 proc.mem 和 proc.num 监控项中选择进程的注意事项
11 net.tcp.service 与 net.udp.service 检查的实现细节
12 不可达/不可用主机接口设置
13 Zabbix 统计数据的远程监控
14 使用 Zabbix 配置 Kerberos
15 modbus.get 参数
16 为 VMware 创建自定义性能计数器名称
17 关于 Windows 系统下 system.cpu.util 监控项 的注意事项
1 循环处理函数
2 位运算函数
3 日期时间函数
4 历史数据函数
5 趋势函数
6 数学函数
7 操作员功能
8 个预测函数
9 string 函数
1 支持的宏
2 按位置支持的用户宏
7 单位符号
8 时间段语法
9 命令执行
10 版本兼容性
11 数据库错误处理
12 Windows版Zabbix sender动态链接库
13 Zabbix API的Python库
14 服务监控升级
15 其他问题
16 Agent与agent 2对比
17 转义示例
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

6 日志文件监控

概述

Zabbix可用于集中监控和分析日志文件 支持/不支持日志轮转功能

当日志file包含特定字符串或string模式时 可通过通知功能向用户发出告警

监控日志file需要满足以下条件:

  • 在主机上运行的Zabbix agent
  • 已配置日志监控监控项

受监控日志file的大小限制取决于 large file support

配置

验证 agent 参数

确保在agent configuration file中:

  • 'Hostname'参数需与前端中的主机名称匹配
  • 'ServerActive'参数中指定的服务器用于处理主动检查
监控项配置

配置日志监控概述.

所有必填字段均以红色星号标记.

针对日志监控监控项需填写以下内容:

类型 此处选择Zabbix agent (主动式).
键值 使用以下监控项键值之一:
log[]logrt[]:
这两个监控项键值允许监控日志并通过正则表达式过滤日志条目(如果存在).
例如: log[/var/log/syslog,error]. 确保file对'zabbix'用户具有读取权限,否则监控项状态将被设为'不支持'.
log.count[]logrt.count[]:
这两个监控项键值仅返回匹配行数.
详情请参阅支持的支持的-监控项-键键值部分了解这些监控项键值及其参数的使用方法.
信息类型 自动预填:
对于log[]或logrt[]监控项 - Log;
对于log.count[]或logrt.count[]监控项 - Numeric (unsigned).
如果可选使用output参数,您可以手动选择除Log外的其他合适信息类型.
注意选择非日志类型信息将导致本地时间戳丢失.
更新间隔(秒) 该参数定义Zabbix agent检查日志file变化的频率.设置为1秒可确保尽快get新记录.
日志时间格式 在此字段中可选指定日志行时间戳的解析模式.支持的占位符:
* y: 年(1970-2038)
* M: 月(01-12)
* d: 日(01-31)
* h: 时(00-23)
* m: 分(00-59)
* s: 秒(00-59)
如果留空,时间戳将被设为Unix时间的0,即1970年1月1日.
例如,考虑Zabbix agent日志file中的以下行:
"23480:20100328:154718.045 Zabbix agent started. Zabbix 1.8.2 (revision 11211)."
它以6个字符位置的PID开头,后跟日期、时间和消息其余部分.
此行对应的日志时间格式应为"pppppp:yyyyMMdd:hhmmss".
注意"p"和":"字符是占位符,可以是除"yMdhms"外的任何字符.

重要说明

  • server 和 agent 会记录被监控日志文件的大小变化轨迹 最后修改时间(针对logrt)以两个计数器形式记录。此外:
    • agent 内部也使用 inode 编号(在 UNIX/GNU/Linux), file 索引(在 Microsoft Windows 上)和 MD5 前512个日志file字节的总和,用于改进决策 当日志文件get被截断并轮转时。
    • 在UNIX/GNU/Linux系统上,假定file系统 日志文件存储位置报告inode编号,该编号可以 用于跟踪文件。
    • 在Microsoft Windows上,Zabbix agent决定了file系统 日志文件所在的类型并使用:
      • 在NTFS file系统上使用64位 file索引。
      • 在ReFS file系统上(仅限Microsoft Windows Windows Server 2012) 128位file标识符。
      • 在file系统上,当file索引发生变化时(例如FAT32, exFAT) 将使用回退算法来采取合理的 在日志file轮换的不确定条件下的方法 导致多个日志文件具有相同的最后 修改时间。
    • inode编号、file索引和MD5校验和在内部 由Zabbix agent收集。它们不会被传输到Zabbix 服务器并在Zabbix agent停止时丢失。
    • 不要修改日志文件的最后修改时间 'touch'工具,不要copy日志file并进行后续恢复 原始名称的(这将更改file inode编号)。 在这两种情况下,file 将被视为不同的并且会 从开始分析,可能导致重复警报。
    • 如果存在多个匹配的日志文件用于logrt[] 监控项 且 Zabbix agent 遵循其中最新的规范 最近日志file已被删除,一条警告消息 "there are no files matching "<regexp mask>" in "<directory>" 已记录。Zabbix agent 忽略修改时间的日志文件 早于agent记录的最新修改时间 对于正在检查的logrt[] 监控项
  • agent开始从上次停止的位置继续读取日志file 之前的时间
  • 已分析的字节数(大小计数器)及最后 修改时间(时间计数器)存储在Zabbix中 数据库并被发送到agent以确保agent启动 从这一点开始读取日志file,在agent仅为的情况下 已启动或已接收到之前禁用或未启用的监控项 支持。然而,如果agent接收到非零大小 来自服务器的计数器,但logrt[]或logrt.count[] 监控项是 无法找到匹配的文件,大小计数器为 如果文件稍后出现,则重置为0以从头开始分析。
  • 每当日志file变得小于日志大小计数器时 由agent所知,计数器被重置为零且agent 从日志file的开头开始读取时间 计数器考虑在内。
  • 如果有多个匹配文件具有相同的最后修改时间 目录中的时间,然后agent尝试正确分析所有 具有相同修改时间的日志文件,避免跳过数据或 对相同数据进行重复分析,尽管无法完全保证 所有情况下。agent不假定任何特定的日志file 轮换方案也未确定一个。当呈现多个日志时 具有相同最后修改时间的文件,agent将处理 将它们按字典序降序排列。因此,对于某些 日志文件将按照轮换方案进行分析和报告 它们的原始顺序。对于其他轮转方案,原始日志 file 顺序将不被遵循,这可能导致报告匹配 日志 file 记录顺序异常(若...则不会出现此问题 日志文件的最后修改时间不同).
  • Zabbix agent 每次 更新 时处理日志 file 的新记录 interval 秒。
  • Zabbix agent 每次不会发送超过 maxlines 行日志 file second. 该限制可防止网络和CPU资源过载 并覆盖由MaxLinesPerSecond提供的默认值 agent configuration file中的参数
  • 为了找到所需的string,Zabbix将处理10倍以上的新数据 每秒钟输出的行数超过MaxLinesPerSecond设置的值。例如,如果log[]logrt[] 监控项 默认具有1秒的更新间隔 agent 最多分析200条日志file记录并将发送 每次检查中不超过20条匹配记录到Zabbix server。 增加MaxLinesPerSecond在agent配置file中或 在监控项键中设置maxlines参数,可以限制 增加到10000条已分析日志file记录和1000条匹配 在一次检查中发送到Zabbix server的记录数。如果更新间隔 设置为2秒时,单次检查的限制将被设定为2倍 高于更新间隔为1秒的情况。
  • 此外,log和log.count的值始终限制在50%以内 agent发送缓冲区大小,即使其中不包含非日志值 因此,为了在一次连接中发送maxlines值(且 不在多个连接中), agent BufferSize 参数必须 至少为maxlines x 2。Zabbix agent可以在日志收集期间上传数据从而释放缓冲区,而Zabbix agent 2会停止日志收集直到数据上传完成且缓冲区被释放,这一过程是异步执行的。
  • 当缺少日志监控项时,所有agent缓冲区大小将被使用 非日志值。当接收到日志值时,它们会替换较旧的 根据需要记录非日志值,最多可达指定的50%。
  • 对于超过256kB的日志file记录,仅保留前256kB内容 与正则表达式匹配后,记录的其余部分是 被忽略。然而,如果Zabbix agent在处理过程中被停止 拥有长记录时,agent内部状态会丢失且长 记录可能会在agent之后被再次且以不同方式分析 重新启动。
  • 关于"\"路径分隔符的特殊说明:如果file_format是 file\.log",那么就不应该存在file目录,因为 无法明确界定"."是否被转义 file名称的首个字符。
  • logrt 支持在文件名中使用正则表达式, 不支持目录正则表达式匹配。
  • 在UNIX平台上,当logrt[] 监控项变为NOTSUPPORTED时 日志文件预期所在的目录未找到 存在。
  • 在Microsoft Windows上,如果目录不存在,监控项将 不会变为NOTSUPPORTED(例如,如果目录名称拼写错误) 监控项 键).
  • logrt[] 监控项缺少日志文件并不会使其失效 不支持. 读取logrt[]监控项日志文件时发生的错误 记录为警告到Zabbix agent日志file但不会使 监控项 不支持。
  • Zabbix agent 日志 file 有助于查明为何 log[]logrt[] 监控项 变为NOTSUPPORTED状态。Zabbix可以监控其agent日志 file,除非处于DebugLevel=4或DebugLevel=5级别时除外。
  • 使用正则表达式搜索问号时,例如\?,如果文本file包含NUL符号,可能会导致误报,因为这些符号会被Zabbix替换为"?"以继续处理该行直到换行符。

提取正则表达式的匹配部分

有时我们可能希望仅从目标file中提取感兴趣的值 而不是在正则表达式匹配时返回整行内容

自Zabbix 2.2.0起,日志监控项具备从匹配行中提取所需值的能力 这是通过在loglogrt 监控项中 添加output参数实现的

使用'output'参数可以指定我们感兴趣的匹配"捕获组"

例如

log[/path/to/the/file,"large result buffer allocation.*Entries: ([0-9]+)",,,,\1]

将允许返回在以下内容中找到的条目计数:

Fr Feb 07 2014 11:07:36.6690 */ Thread Id 1400 (GLEWF) large result
       buffer allocation - /Length: 437136/Entries: 5948/Client Ver: >=10/RPC
       ID: 41726453/User: AUser/Form: CFG:ServiceLevelAgreement

由于\1引用第一个且唯一的捕获组:([0-9]+) 所以仅返回数字

通过提取并返回数字的能力 该值可用于定义触发器

使用 maxdelay 参数

log 监控项中的'maxdelay'参数允许忽略部分较旧的行 从日志文件中以get最近分析的行 'maxdelay' 秒。

指定'maxdelay' > 0可能导致忽略 重要日志file记录和遗漏告警。使用时需谨慎 仅在必要时自行承担风险。

默认情况下,日志监控的监控项会追踪文件中出现的所有新行 日志文件。然而,某些应用程序在某些情况下 开始在其日志文件中写入大量消息。 例如,如果数据库或DNS服务器不可用,此类应用程序 日志文件被数千条几乎相同的错误消息淹没直至 恢复正常运行。默认情况下,所有这些消息都将 经过分析并匹配的行按配置发送至服务器 loglogrt 监控项。

内置过载保护机制包含可配置的 'maxlines' 参数(防止服务器接收过多匹配的输入数据) 日志行数)以及10倍'maxlines'的限制(保护主机的CPU和I/O免受 在一个检查中通过agent进行重载)。然而,仍然存在2个问题: 内置保护。首先,大量潜在的 非信息性消息被报告至服务器并占用存储空间 数据库。其次,由于每次分析的行数有限 其次,agent 可能会滞后于最新日志记录数小时。相当 您可能更希望尽快了解当前情况 日志文件中的情况,而非费力翻阅旧记录 小时

解决这两个问题的方案是使用'maxdelay'参数。如果 如果指定了'maxdelay' > 0,则在每次检查期间会计算 已处理的字节数、剩余字节数及处理时间 根据这些数值,agent会计算出一个预估延迟 分析日志中所有剩余记录需要多少秒 file

如果延迟未超过'maxdelay',则agent继续执行 照常分析日志file。

如果延迟大于'maxdelay',则agent 忽略一个数据块 通过"跳过"日志file来跳转到一个新的预估位置 剩余行可在'maxdelay'秒内完成分析。

请注意,agent甚至不会将忽略的行读入缓冲区 在file中计算一个近似跳跃位置

跳过日志file行的事实会被记录在agent日志file中 这个

14287:20160602:174344.206 item:"logrt["/home/zabbix32/test[0-9].log",ERROR,,1000,,,120.0]"
       logfile:"/home/zabbix32/test1.log" skipping 679858 bytes
       (from byte 75653115 to byte 76332973) to meet maxdelay

"to byte"数值为近似值,因为在"jump"之后agent 将file中的位置调整到日志行的开头 可能在file之后或之前。

根据增长速度与速度的比较情况 分析日志file时,您可能会发现没有"跳跃"、偶尔或频繁出现"跳跃" 大或小的"跳跃",甚至每次检查中的小"跳跃"。 系统负载波动和网络延迟也会影响 延迟的计算,从而“跳跃”前进以跟上进度 "maxdelay"参数。

不建议将'maxdelay'设置为小于'update间隔'(这可能导致 导致频繁的小幅度"跳跃"。

关于处理'copytruncate'日志文件轮转的注意事项

带有copytruncate选项的logrt假定不同日志文件包含不同记录(至少时间戳不同),因此初始块(前512字节)的MD5校验和会不同。两个文件若初始块MD5校验和相同,则意味着其中一个是原始文件,另一个是copy。

带有copytruncate选项的logrt会正确处理日志file副本而不报告重复项。但需避免以下情况:生成具有相同时间戳的多个日志file副本、日志file轮转频率高于logrt[] 监控项 update间隔、频繁重启agent。agent会合理处理这些情况,但无法保证所有场景下都能获得理想结果。

日志持久化文件注意事项*[] 监控项

持久化文件的用途

当Zabbix agent启动时,它会从Zabbix server 或 proxy接收活动检查列表。对于log*[]指标,它会接收已处理的日志大小和修改时间,以确定从何处开始日志file监控。根据file系统报告的实际日志file大小和修改时间,agent决定是继续从已处理的日志大小处进行日志file监控,还是从头重新分析日志file。

运行中的agent会维护一组更大的属性,用于在检查之间跟踪所有受监控的日志文件。当agent停止时,这种memory内部状态会丢失。

新的可选参数persistent_dir指定了一个目录,用于存储log[]、log.count[]、logrt[]或logrt.count[] 监控项在file中的状态。在Zabbix agent重启后,日志监控项的状态会从持久化file中恢复。

主要使用场景是监控位于镜像file系统上的日志file。在某个时间点之前,日志file会同时写入两个镜像。然后镜像被拆分。在活跃的copy上,日志file仍在增长,不断添加新记录。Zabbix agent分析它并将已处理的日志大小和修改时间发送到服务器。在被动copy上,日志file保持不变,远远落后于活跃copy。之后,操作系统和Zabbix agent会从被动copy重新启动。Zabbix agent从服务器接收的已处理日志大小和修改时间可能对被动copy的情况无效。为了从file系统镜像拆分时agent停止的位置继续日志file监控,agent会从持久化file恢复其状态。

Agent 持久化文件操作

启动时 Zabbix agent 对持久化文件一无所知。只有在从 Zabbix server(proxy)接收到活动检查列表后,agent 才会发现某些日志 监控项 应由指定目录下的持久化文件支持。

在 agent 运行期间,持久化文件会以写入模式打开(使用 fopen(filename, "w"))并用最新数据覆盖。如果在覆盖操作和 file 系统镜像分裂同时发生,导致持久化 file 数据丢失的概率非常小,因此未做特殊处理。写入持久化 file 后不会强制同步到存储介质(未调用 fsync())。

在成功向 Zabbix server 报告匹配的日志 file 记录或元数据(处理的日志大小和修改时间)后,会用最新数据覆盖。如果日志 file 持续变化,这种情况可能每 监控项 检查周期就会发生一次。

agent 关闭时不执行特殊操作。

在接收到活动检查列表后,agent会标记过时的持久化文件以便删除。一个持久化file在以下情况下会变为过时:1) 对应的日志监控项不再被监控,2) 日志监控项被重新配置为与之前不同的persistent_dir位置。

删除操作会延迟24小时执行,因为处于NOTSUPPORTED状态的日志文件不会包含在活动检查列表中,但它们可能稍后变为SUPPORTED状态,此时它们的持久化文件将派上用场。

如果agent在24小时到期前停止,那么过时文件将不会被删除,因为Zabbix agent无法再从Zabbix server获取这些文件的位置信息。

当agent停止时,若用户未手动删除旧的持久化file,而将日志监控项的persistent_dir重新配置回旧位置,会导致从旧的持久化file恢复agent状态,从而引发消息丢失或误报警报。

持久化文件的命名与存储位置

Zabbix agent 通过键值区分主动检查. 例如, logrt[/home/zabbix/test.log] 和 logrt[/home/zabbix/test.log,] 是 不同的 监控项. 在前端将 监控项 logrt[/home/zabbix/test.log,,,10] 修改为 logrt[/home/zabbix/test.log,,,20] 会导致从 agent 的主动检查列表中 删除 监控项 logrt[/home/zabbix/test.log,,,10] 并创建 logrt[/home/zabbix/test.log,,,20] 监控项 (某些属性会在前端/服务器修改时保留, 但不会在 agent 中保留).

file 名称由 监控项 键的 MD5 哈希值加上 监控项 键长度组成, 以减少冲突可能性. 例如, logrt[/home/zabbix50/test.log,,,,,,,,/home/zabbix50/agent_private] 监控项 的状态将保存在持久性 file c963ade4008054813bbc0a650bb8e09266 中.

多个日志 监控项 可以使用相同的 persistent_dir 值.

persistent_dir 的指定需要考虑特定的 file 系统布局、 挂载点和挂载选项以及存储镜像配置 - 持久性 file 应与被监控的日志 file 位于同一镜像文件系统上.

如果无法创建 persistent_dir 目录或该目录不存在, 或者 Zabbix agent 的访问权限不允许 create/写入/读取/delete 文件, 则日志 监控项 将变为 NOTSUPPORTED.

如果在agent操作期间移除了持久存储文件的访问权限 或发生其他错误(例如磁盘已满),则错误会被记录到agent日志 file中,但日志监控项不会变为NOTSUPPORTED状态。

I/O 负载

监控项的持久化file会在每批数据(包含监控项的数据)成功发送至服务器后更新。例如,默认的'BufferSize'为100。如果某个日志监控项匹配到70条记录,前50条记录会作为第一批发送,持久化file随即更新;剩余的20条记录将在第二批发送(可能会延迟以积累更多数据),之后持久化file会再次更新。

当 agent 与服务器通信失败时的操作

来自log[]logrt[]的每个匹配行监控项以及每个结果 log.count[]logrt.count[] 监控项 检查需要一个空闲插槽 在agent发送缓冲区中指定了50%的区域。缓冲区元素是 定期发送到服务器(或proxy),缓冲区槽位再次释放。

当agent发送缓冲区中有空闲槽位时 agent与服务器(或proxy)之间的缓冲区和通信故障 日志监控结果会累积在发送缓冲区中。这有助于 缓解短暂的通信故障。

在长时间通信故障期间,所有日志槽位get被占满且 采取以下操作:

  • log[]logrt[] 监控项 检查已停止。当通信 缓冲区中的已恢复和空闲槽位可用时,检查将 从先前位置恢复。不会丢失任何匹配行,它们 稍后才会报告。
  • log.count[]logrt.count[] 检查会在以下情况停止 maxdelay = 0(默认)。行为类似于log[]logrt[] 监控项 如上所述。请注意这可能会影响 log.count[]logrt.count[] 结果:例如,一次检查 在日志中统计100条匹配行file,但由于没有可用的 缓冲区中的槽位检查停止。当通信时 恢复了agent计数相同的100条匹配行以及70条 新匹配的行。agent现在发送count = 170,就好像它们是 在一次检查中发现。
  • log.count[]logrt.count[] 检查与 maxdelay > 0:如果 检查期间没有出现"跳跃",则行为类似于 上述描述。如果发生了跳过日志file行的情况,则 "jump"后的位置被保留,计数结果被丢弃。 因此,agent会持续追踪不断增长的日志file,即使出现异常情况 通信故障

正则表达式编译与运行时错误的处理

如果在log[]logrt[]log.count[]logrt.count[]监控项中使用的正则表达式无法被PCRE或PCRE2库编译,则该监控项会进入NOTSUPPORTED状态并显示错误消息。要继续监控日志监控项,应修复正则表达式。

如果正则表达式编译成功,但在运行时失败(在某些或所有日志记录上),则日志监控项仍保持支持状态并继续监控。运行时错误会被记录在Zabbix agent日志file中(不包含日志file记录)。

请注意,正则表达式运行时错误的记录功能自Zabbix 6.0.21起支持。

记录速率限制为每次检查一个运行时错误,以便Zabbix agent可以监控其自身的日志file。例如,如果分析了10条记录,其中3条记录因正则表达式运行时错误而失败,则会在agent日志中生成一条记录。

例外情况:如果MaxLinesPerSecond=1且update间隔=1(每次检查仅允许分析1条记录),则不会记录正则表达式运行时错误。

zabbix_agentd会在运行时错误时记录监控项键,zabbix_agent2则会记录监控项 ID以帮助识别哪个日志监控项存在运行时错误。建议在出现运行时错误时重新设计正则表达式。

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy