В шаблоне, который собирает данные из Windows Eventlog мониторятся некоторые события (создание-удаление-сброс учеток и тд)
Айтемы - все однотипные, с ключами вида eventlog[Security,,,,4720] (событие создания учетной записи в данном случае)
Столкнулся с проблемой, что конкретное событие с EventID 4781 - не прилетает в Zabbix (это событие "The name of an account was changed")
т.е. айтем - склонирован с работающих, он идентичный всем тем, что нормально собираются(только EventID отличается и Name) - но данные не прилетают
Препроцессинга нет, отказался от него, данные прилетают в чистом виде
Для проверки - включил дебаг-лог на нужном контроллере домена, сгеренировал два события, одно работающее (EventID 4724), второе с EventID 4781
По первому (работающему) в дебаг-логе увидел и сам парсинг события (записи вида In zbx_parse_eventlog_message6() ) и записи о формировании JSON-строки с данными и ее отправке
По второму (неработающему) в дебаг логе увидел только парсинг события но нет никаких сообщений о формировании JSON и отправке
Неработающее событие было хронологически первым, дебаг отключил уже после того как в заббикс пришли данные по второму(работающему) событию, поэтому всякие вещи типа буфера\кеша отправки данных от агента по идее уже не могли повлиять
Синтаксис ключа - пробовал по разному(см скриншот, нижние два события - это попытка чуть разным синтаксисом получить данные по EventID 4781) - все равно не прилетают данные
Куда еще можно посмотреть?
Подскажите, пожалуйста
Айтемы - все однотипные, с ключами вида eventlog[Security,,,,4720] (событие создания учетной записи в данном случае)
Столкнулся с проблемой, что конкретное событие с EventID 4781 - не прилетает в Zabbix (это событие "The name of an account was changed")
т.е. айтем - склонирован с работающих, он идентичный всем тем, что нормально собираются(только EventID отличается и Name) - но данные не прилетают
Препроцессинга нет, отказался от него, данные прилетают в чистом виде
Для проверки - включил дебаг-лог на нужном контроллере домена, сгеренировал два события, одно работающее (EventID 4724), второе с EventID 4781
По первому (работающему) в дебаг-логе увидел и сам парсинг события (записи вида In zbx_parse_eventlog_message6() ) и записи о формировании JSON-строки с данными и ее отправке
По второму (неработающему) в дебаг логе увидел только парсинг события но нет никаких сообщений о формировании JSON и отправке
Неработающее событие было хронологически первым, дебаг отключил уже после того как в заббикс пришли данные по второму(работающему) событию, поэтому всякие вещи типа буфера\кеша отправки данных от агента по идее уже не могли повлиять
Синтаксис ключа - пробовал по разному(см скриншот, нижние два события - это попытка чуть разным синтаксисом получить данные по EventID 4781) - все равно не прилетают данные
Куда еще можно посмотреть?
Подскажите, пожалуйста
Attached Files