Ad Widget

Collapse

Мониторинг лог-файла. Массовое совпвдени

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • 5p1ke
    Junior Member
    • Aug 2016
    • 3
    #1

    Мониторинг лог-файла. Массовое совпвдени

    Доброго времени суток.
    Мониторю работу сервиса.
    Настроен мониторинг лог файла на наличие там словосочетания "timeout" и триггер на оповещение:
    (({host:log[/path/to/log/file.log,connection:error].regexp(timeout)})=1) and {host:log[/path/to/log/file.log,connection:error].nodata(5m)}=0

    И как только у меня сервис начинает сбоить он в секунду делает по 100500 записей которые подпадают под триггер и на каждое совпадение Zabbix присылает уведомление, т.е. за 10 минут прилетает over9000 писем. Каким образом можно сделать только одно умедомление при такой массовости.
    Благодарю.
    Tags: None
    • Semiadmin
      Senior Member
      • Oct 2014
      • 1625
      #2
      К сожалению, нет возможности сейчас проверить, поэтому как предположение: что, если попробовать добавить в ваш триггер
      {TRIGGER.VALUE}=0 and ...

        Comment

        • Kos
          Senior Member
          Zabbix Certified SpecialistZabbix Certified Professional
          • Aug 2015
          • 3406
          #3
          1) у вас реально такое количество записей в логе, или же это ложные срабатывания?

          2) в настройках триггера выставлена ли "галочка" "Generate multiple events"?

            Comment

            • 5p1ke
              Junior Member
              • Aug 2016
              • 3
              #4
              Originally posted by kos
              1) у вас реально такое количество записей в логе, или же это ложные срабатывания?

              2) в настройках триггера выставлена ли "галочка" "generate multiple events"?
              1. Да реально столько совпадений - на выходных были траблы и мне пришло 16к+ писем ((
              2. Да галочка стоит.

                Comment

                • Kos
                  Senior Member
                  Zabbix Certified SpecialistZabbix Certified Professional
                  • Aug 2015
                  • 3406
                  #5
                  Originally posted by 5p1ke
                  1. Да реально столько совпадений - на выходных были траблы и мне пришло 16к+ писем ((
                  2. Да галочка стоит.
                  Ну, собственно, прямой ответ на Ваш вопрос:
                  Каким образом можно сделать только одно умедомление при такой массовости
                  - это снять данную "галочку". Тогда событие "переход триггера в состояние "PROBLEM" будет генерироваться лишь в случае, если триггер ещё не был в этом состоянии. Соответственно, по условию триггера выходить из этого состояния он будет по таймеру, если в течение пяти минут не приходило новых данных, которые подпадают под первое условие (т.е. содержат строку "error").

                  С выставленной "галочкой" можно нарваться на ещё одну проблему, которую я описывал несколько раз (например, тут и в этом треде).

                    Comment

                    • 5p1ke
                      Junior Member
                      • Aug 2016
                      • 3
                      #6
                      Originally posted by kos
                      Ну, собственно, прямой ответ на Ваш вопрос:- это снять данную "галочку". Тогда событие "переход триггера в состояние "problem" будет генерироваться лишь в случае, если триггер ещё не был в этом состоянии. Соответственно, по условию триггера выходить из этого состояния он будет по таймеру, если в течение пяти минут не приходило новых данных, которые подпадают под первое условие (т.е. содержат строку "error").

                      С выставленной "галочкой" можно нарваться на ещё одну проблему, которую я описывал несколько раз (например, тут и в этом треде).
                      Благодарю! Поправил, гляну как оно себя будет вести.

                        Comment

                        Previous template Next
                        Working...