Ad Widget

Collapse

Мониторинг лога с помощью find

Collapse
This topic has been answered.
X
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • Dr759123
    Member
    • Oct 2021
    • 30
    #1

    Мониторинг лога с помощью find

    Добрый день сейчас имею имею работающий тригер find(/debianZabbix/log[/var/log/auth.log],,"like","FAILED LOGIN")=1 ( мониторит лог на клиенте на ошибки авторизации из консоли).
    Хочу добавить в триггер мониторинг ошибок подключения через SSH.
    Привел выражение к виду find(/debianZabbix/log[/var/log/auth.log],,"like","FAILED LOGIN")=1 or find(/debianZabbix/log[/var/log/auth.log],,"like","Failed ")=1. Первая часть (find(/debianZabbix/log[/var/log/auth.log],,"like","FAILED LOGIN")=1) отрабатывает а вторая (find(/debianZabbix/log[/var/log/auth.log],,"like","Failed ")=1) нет.
    Подскажите в чем ошибся ?

    Tags: None
    • Answer selected by Kos at 09-11-2021, 13:00.
      Dr759123
      Member
      • Oct 2021
      • 30
      Originally posted by sudoRoman
      Переделать на log[auth.log,"FAILED"] и log[auth.log,"Failed"], да триггеры на них уже делать. Тут по Item в Latest data будет хотя бы видно получает ли заббикс значение, чтобы потом уже триггер с ним работал.
      Спасибо за ответы! Работоспособности от своей конструкции все же добился. Хотя ваш вариант мне понравился больше, буду создавать два элемента данных (один на неправильный ввод в консоли, второй на ошибки при авторизации по ssh) и к каждому из них свой тригuер ! Для истории приведу рабочий вариант своего.
      Click image for larger version Name: скрин.jpeg Views: 2039 Size: 252.9 KB ID: 433794
        • Selected Answer

        Comment

        • Alex_UUU
          Senior Member
          • Dec 2018
          • 541
          #2
          А вот покажи строчку в логе, которая есть и которая не обрабатывает?
          есть ощущение, что что-то с регекспами...

            Comment

            • sudoRoman
              Member
              • Dec 2018
              • 43
              #3
              Во второй части возможно пробел после Failed мешает.

                Comment

                • Dr759123
                  Member
                  • Oct 2021
                  • 30
                  #4
                  Originally posted by Alex_UUU
                  А вот покажи строчку в логе, которая есть и которая не обрабатывает?
                  есть ощущение, что что-то с регекспами...
                  Сымитировал неправильный вход по ssh в последних данных строка содержащая Failed - появилась, но тригер не сработал

                  Click image for larger version Name: Дааные полученные zabbix сервером.jpeg Views: 2047 Size: 254.0 KB ID: 433754

                    Comment

                    • Dr759123
                      Member
                      • Oct 2021
                      • 30
                      #5
                      Originally posted by sudoRoman
                      Во второй части возможно пробел после Failed мешает.
                      Удалил пробел, не помогло
                      Click image for larger version Name: триггер.jpeg Views: 2055 Size: 162.5 KB ID: 433756

                        Comment

                        • sudoRoman
                          Member
                          • Dec 2018
                          • 43
                          #6
                          Item что вообще собирает, ключ у него какой? Ибо в триггере смотрится Failed в разном регистре.

                            Comment

                            • Alex_UUU
                              #6.1
                              Alex_UUU commented
                              28-10-2021, 13:54
                              Editing a comment
                              Я вот тоже не могу понять, какой ключ и где описание функции find

                              Сделал бы по старинке:
                              ЭД типа log или logrt гед уже выводил бы в ЭД то, что попало.
                              А триггер был бы стандартный если есть значение - то срабатывать.
                            • Dr759123
                              Member
                              • Oct 2021
                              • 30
                              #7
                              Originally posted by sudoRoman
                              Item что вообще собирает, ключ у него какой? Ибо в триггере смотрится Failed в разном регистре.
                              По поводу Failed в разном регистре все верно 1) FAILED LOGIN - если неправильно ввел пароль или имя usera в консоли при авторизации 2) Failed - если неправильно ввёл имя или пароль usera при авторизации через ssh. Это два разных события в /var/log/auth.log . Хочу получать предупреждение если произошло одно из этих событий.
                              Click image for larger version Name: items.jpeg Views: 2051 Size: 136.2 KB ID: 433765

                                Comment

                                • sudoRoman
                                  Member
                                  • Dec 2018
                                  • 43
                                  #8
                                  Переделать на log[auth.log,"FAILED"] и log[auth.log,"Failed"], да триггеры на них уже делать. Тут по Item в Latest data будет хотя бы видно получает ли заббикс значение, чтобы потом уже триггер с ним работал.

                                    Comment

                                    • Alex_UUU
                                      Senior Member
                                      • Dec 2018
                                      • 541
                                      #9
                                      Так сделайте правильный ЭД:
                                      log[файл,<регулярное выражение>,<кодировка>,<макс. кол-во строк>,<режим>,<вывод>,<максзадержка>, <опции>]

                                      Нафига в заббикс переносить весь журнал?

                                      1 Zabbix агент
                                      https://www.zabbix.com/documentation/5.2/ru/manual/config/items/itemtypes/zabbix_agent

                                        Comment

                                        • Dr759123
                                          Member
                                          • Oct 2021
                                          • 30
                                          #10
                                          Originally posted by sudoRoman
                                          Переделать на log[auth.log,"FAILED"] и log[auth.log,"Failed"], да триггеры на них уже делать. Тут по Item в Latest data будет хотя бы видно получает ли заббикс значение, чтобы потом уже триггер с ним работал.
                                          Спасибо за ответы! Работоспособности от своей конструкции все же добился. Хотя ваш вариант мне понравился больше, буду создавать два элемента данных (один на неправильный ввод в консоли, второй на ошибки при авторизации по ssh) и к каждому из них свой тригuер ! Для истории приведу рабочий вариант своего.
                                          Click image for larger version Name: скрин.jpeg Views: 2039 Size: 252.9 KB ID: 433794
                                            • Selected Answer

                                            Comment

                                            • Dr759123
                                              Member
                                              • Oct 2021
                                              • 30
                                              #11
                                              Originally posted by Alex_UUU
                                              Так сделайте правильный ЭД:
                                              log[файл,<регулярное выражение>,<кодировка>,<макс. кол-во строк>,<режим>,<вывод>,<максзадержка>, <опции>]

                                              Нафига в заббикс переносить весь журнал?

                                              https://www.zabbix.com/documentation...s/zabbix_agent
                                              Спасибо за ответы

                                                Comment

                                                • Mihail85
                                                  Junior Member
                                                  • Jul 2025
                                                  • 2
                                                  #12
                                                  Добрый день, создал элемент данных для отслеживания логов почтовика, в предобработке настроил JS код для фильтрации "своих" айпи если не в списке, то добавляется слово alarm.
                                                  Click image for larger version Name: image.png Views: 230 Size: 14.0 KB ID: 504732
                                                  сделал триггер по поиску слова alarm, но он срабатывает на каждое сообщение, даже если его нет. Что не так?
                                                  Click image for larger version Name: image.png Views: 231 Size: 42.8 KB ID: 504733

                                                    Comment

                                                    • Kos
                                                      Senior Member
                                                      Zabbix Certified SpecialistZabbix Certified Professional
                                                      • Aug 2015
                                                      • 3404
                                                      #13
                                                      Originally posted by Mihail85
                                                      Добрый день, создал элемент данных для отслеживания логов почтовика, в предобработке настроил JS код для фильтрации "своих" айпи если не в списке, то добавляется слово alarm.

                                                      сделал триггер по поиску слова alarm, но он срабатывает на каждое сообщение, даже если его нет. Что не так?
                                                      Так у вас в триггере указано проверять не одно (последнее) значение, а все значения за последний час (второй параметр функции find(): "1h").
                                                      Соответственно, при поступлении каждого нового значения проверяется - не было ли за весь последний час хотя бы одного, у которого присутствует подстрока "alarm", и если есть - то триггер срабатывает.

                                                        Comment

                                                        • Mihail85
                                                          Junior Member
                                                          • Jul 2025
                                                          • 2
                                                          #14
                                                          Да спасибо работает 1 час ставил, чтобы imap каждые 10 минут не срабатывал на вход

                                                            Comment

                                                            Previous template Next
                                                            Working...