🧗🏿 📺 🏼 もう一度Zabbixにログを保存することについて 🏇 🕞 😖

Zabbixでログを収集および保存するトピックは、複数回提起されました。そして2つではありません。これが完全に正しいアプローチではないこと、データベースを真剣にロードすることを考慮しない場合、このような方法には別の重大な欠点があります-ログ全体を保存します。ルーターまたはLinuxのログの場合、何らかの形でこれに同意することができれば、イベントログWindowsは、Zabbixサーバーと、それを収集して保存することを決定したシステム管理者の両方に大きな苦痛を与え始めます。以下は、この問題の解決策です。

叙情的な余談

すべての技術者はすでに次のオフィスで待機しており、少し立ち止まって一息ついて、ユニコーンと一緒に居心地の良いふわふわしたITの世界から出て、ゲームがろうそくに値するかどうかを判断しようとします。結局のところ、松葉杖で作られたフェンスであなたの集団農場に対する想像力と愛を完全に殺す特別な解決策、ベストプラクティス、その他の言葉があります。完全なELKスタック、シャード、フォールトトレランス、1秒あたり数百万のログ行を持っている人たちに心から満足しています。これらの半神は、彼らの輝く峰から私たちの単純な人間にめったに降りません。したがって、彼らはインフラストラクチャ全体を監視すると同時に、ヒキガエルに悩まされないという単純な欲求を理解していません。また、監視には数値インジケータだけではありません。たとえば、Windows Serverセキュリティサブシステムはログのみを操作します。そして、大砲からスズメを撃つ必要がなく、Zabbixに基づいてすでに確立された監視がある場合、その能力を拡大してみませんか？たぶん私はただの陳腐な言い方をしますが、インフラストラクチャの監視はインシデントへのタイムリーな対応の基礎であるため、Zabbixと互換性があり、最小限のリソースを消費するログコレクターやアナライザーなどのツールを武器に用意する必要はありません。

原因に！

通常、イベントログを処理するときは、次のスキームに従います。

EvtSysは、EventLogメッセージをSyslog標準に変換する小さなサービスです。

この束には、少なくとも2つの欠点があります。

Microsoftは、エラーメッセージ、ソリューションへのヘルプ、展開されたソリューションへのリンク、馬、ジプシー、およびクマなどを含むログメッセージのサイズ（特に4 kbを超えることが多い）について特に儀式的ではありません。そして、これは、メッセージ自体に加えて、それ以上必要なものはないという事実にもかかわらずです。その結果、大量の無駄な情報をデータベースに保存し、ディスクスペースはゴムではありません。
新しいメッセージごとに、RSyslogはzabbix_senderの新しいフォークを作成します。大量の受信データを使用すると、ログ収集サーバーを簡単に殺すことができますが、これも不快です。

だからこそ、自転車メーカーを発見し、勇敢な新しい世界を作り始めたのです。

一般的な概念

新しい車両には、作業スキームに従って~~三角形の車輪~~が付いています。

ヘカはペペラの中心です。それはほとんどLogstashに似ており、パイプだけが低く、煙は薄くなっています。しかし、JRubyがなければ、リソースをそれほど必要とせず、しかも驚くほど高速なパンチが必要です。 1秒あたり数千行のログを静かに消化して処理します。このようなもの：

同時に、プラグインの助けを借りて簡単かつ自然に拡張されますが、これは将来行われます。システムの一般的なロジックは次のとおりです。受信メッセージEvtSysはSyslog形式に変換され、処理のためにHekaに送信されます。 syslogメッセージを解析し、メッセージの内部部分（ペイロード）を選択し、正規表現でさらに解析して、新しいログ行を形成します。この文字列は、汎用プラグインを使用してZabbixに直接渡されます。必要なものはすべて、Zabbixサーバー、別のマシン、またはこの場合はZabbixプロキシに配置されます。システムの操作に対するこのアプローチは、以前に表明された両方の欠点を排除します。これらのすべてが内部にどのように配置されているかをさらに詳しく調べます。

EvtSysを構成する

EvtSysの構成については説明しません。たとえば、ここで繰り返し説明します。ソリューションが機能するために重要な主なポイントのみに注目します。 EvtSysバージョンは少なくとも4.5でなければなりません。これは、インストール中に-tスイッチが使用されるためです。 LPバージョンを使用することをお勧めします。これは、2 kbを超えるメッセージを送信できるためです。これは私たちにとって重要です。 EvtSysインストールコマンド：

evtsys -i -h <heka_host> -p <heka_port> -f 17 -t <zabbix_host>

Windowsログでは、ファシリティlocal1を使用しますが、最適なものを使用できます。 -tオプションには特に注意を払う必要があります。その中で、Zabbixで示されているとおりにホスト名を正確に指定する必要があります。このHekaフィールドを使用して、Zabbix上の適切なホストにメッセージを送信できます。

メッセージ処理パイプラインの構成

それで、私たちは決定の中で最も興味深くておいしい部分に到達しました。 Hekaのインストールについても説明しません。恐怖のポイントにはささいなものであり、公式ドキュメントによく描かれています。したがって、Hekaが既にインストールされていると仮定し、セットアップに直行します。 Logstashと同様に、Hekaはラベルベースのログ変換パイプラインを実装しています。処理された文字列が渡す一般的なパスは次のとおりです。

スプリッターとフィルターはパイプラインにない可能性があります。最終的には、私たちもそうなります。ログ行が通過するパス、フィルター、および結果としてどのように表示されるかは、Hekaのメッセージの内部表現のフィールドに基づく条件によって決まります。これについての詳細はドキュメンテーションで読むことができます。次のHekaアルゴリズムを作成する必要があります。

UDPポート経由でsyslogメッセージを受信します。
syslogメッセージをデコードし、追加のタグを選択します。
ログ行のテキスト（ペイロード）を解析し、そこから主要なパラメーターと値を選択します。
選択した値に基づいて、新しい有益なログ行を生成します。
ログ行をZabbixのjsonメッセージとしてエンコードします。
エンコードされたメッセージをZabbixに送信します。

アルゴリズムを実装するために、Hekaパイプラインの機能ブロックを次のように構築します。

別の説明はMultiDecoderに値します。これはデコーダーのコンテナであり、シーケンシャルに（これはsyslog-decoderでの設定方法です）、最初の正常なデコードまで（events-decoderで）実行できます。次に、これがHeka configでどのように実装されるかを見てみましょう。メイン設定を詰まらせないために、設定全体を別のファイルに取り出します。この/etc/heka/conf.d/20-eventlog.tomlがあります。

ヘカ設定

各コンポーネントの設定を個別に検討してください。

 [eventlog] type = "UdpInput" address = ":10514" decoder = "syslog-decoder"

ここでの設定では、ポートへのアクセス権に問題がないように、すべてのインターフェイスでリッスンし、1024以上のポートを使用することを示しています。このポートは、syslogサーバーポートとしてEvtSysで指定する必要があります。また、受信したメッセージを送信するデコーダーをすぐに示します。

 [syslog-decoder] type = "MultiDecoder" subs = ["rsyslog-decoder", "events-decoder"] cascade_strategy = "all" #log_sub_errors = true

すでに上で述べたように、このデコーダーは、2種類の動作を備えた他のデコーダーのコンテナーです（すべてのデコーダーを実行するか、最初の正常なデコードの前に実行します）。動作のタイプはcascade_strategyパラメーターによって設定され、この場合、すべてのデコーダーがsubsパラメーターで指定された順序で実行される必要があることを示します。マルチデコーダーをデバッグするには、log_sub_errors = trueオプションを使用すると便利です。指定すると、Hekaはサブデコーダーのデコードエラーをログに書き込みます。

 [events-decoder] type = "MultiDecoder" subs = ["event-4624-decoder", "event-4625-decoder", "event-4724-decoder", "event-4738-decoder", "event-4740-decoder"] cascade_strategy = "first-wins" #log_sub_errors = true

イベントデコーダー自体はマルチデコーダーですが、動作の戦略はすでに異なっています-初勝利。内部デコーダーの1つが正常にデコードされたデータを返すまで、デコーダーを強制的に実行します。これは、後で説明するいくつかのパターンに従ってデータを処理するのに役立ちます。

 [rsyslog-decoder] type = "SandboxDecoder" filename = "lua_decoders/rsyslog.lua" [rsyslog-decoder.config] type = "RSYSLOG_TraditionalForwardFormat" template = '<%PRI%>%TIMESTAMP% %HOSTNAME% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%' tz = "Europe/Moscow"

著者によれば、Hekaに含まれる標準デコーダーの1つはRSyslogログテンプレートをサポートしています。しかし、それは完全ではないように思えました。ログテンプレートの二重パラメーター％HOSTNAME％に注意してください。これはタイプミスではありません。-tを介してEvtSysに渡されるパラメーターがメッセージテキストに貼り付かないようにテンプレートを構成できませんでした。そのため、1つの小さな些細な問題を除いて、実際に必要なものが得られます。ホスト名の最後はコロンです。メッセージをエンコードするときに削除します。あなたは尋ねることができます：ホスト名フィールドの値はどのように解析されますか？そして非常に簡単です-新しい値は単に古いものを上書きします。

イベントデコーダーはすべて双子の兄弟のように似ているため、1つだけを検討します。残りの違いは、解析用の正規表現とログの出力行にのみ適用されます。

 [event-4624-decoder] type = "PayloadRegexDecoder" match_regex = '^(?P<EventID>4624):(?:[^:]+:){10}\s(?P<Account>[^\s]+)[^:]+:\s(?P<Domain>[^\s]+)(?:[^:]+:){8}\s(?P<IP>[^\s]+)' [event-4624-decoder.message_fields] Type = "windows.eventlog" Key = 'eventlog.%EventID%' Value = '   %Domain%\%Account%   %IP%.'

このデコーダーは、正規表現を使用して文字列を実行し、同時に個々の部分を選択します。これを使用して、追加のメッセージフィールドを作成できます。このようなフィールドは、出力メッセージを作成するのに役立ちます。また、ここでメッセージタイプが設定され（Typeフィールド）、対応する出力（対応するエンコーダーに関連付けられている）に送信されます。

 [ZabbixEncoder] type = "SandboxEncoder" filename = "lua_encoders/zabbix_trapper.lua"

そして今、私たちのコレクションの真珠はLuaの自己記述プラグインです。私は彼の仕事を期限内に検討します（本文の下流）。 Zabbix向けのメッセージをエンコードすることをここに書くだけで十分です。

 [event-out-zabbix] type = "TcpOutput" message_matcher = "Type == 'windows.eventlog'" address = "127.0.0.1:10051" encoder = "ZabbixEncoder" reconnect_after = 1

Zabbixにメッセージを送信するために終了します。すべてがそれ自体を通過するわけではなく、「タイプ」フィールドに対応する値を持つメッセージのみが通過します。各メッセージは、上記で説明したエンコーダーを通過します。

reconnect_after = 1パラメーターに特に注意することをお勧めしますが、これは非常に重要なパラメーターです。実際には、TcpOutputにはバグが含まれており、TCPセッションを長時間維持できません。これは次のようになります。ある時点で、本格的なログメッセージの代わりにZabbixが調整を開始し、その後停止します。 Wiresharkを介したHekaとZabbix間の交換を見ると、TcpOutputがパケットのビートを開始し、接続が切断されていることがわかります。その結果、これを防ぐために、上記のパラメーターが設定され、各メッセージがZabbixに送信された後にTcpOutputが再接続されます。はい、もちろんこれによりオーバーヘッドが発生しますが、HekaまたはZabbixプロキシを使用するホストの負荷が大幅に増加することはありませんでした。たぶんいくつかのメッセージを送信するだけですか？ ;）

デバッグメッセージ処理

パイプラインのデバッグには、RstEncoderとファイルへの出力という2つのことをお勧めします。 RstEncoderは、各メッセージフィールドをテキスト文字列でエンコードします。これにより、メッセージがどのフィールドで構成され、どのフィールドが等しいかを確認できます。ファイルへの出力は、何がエンコードされ、何がスキップされ、どのようにエンコードされているかを追跡するのに役立ちます。出力を次のようなファイルに整理できます。

 [event-out-file] type = "FileOutput" message_matcher = "Type == 'windows.eventlog'" path = "/tmp/events.log" perm = "666" flush_count = 100 flush_operator = "OR" encoder = "RstEncoder"

ここではすべてのパラメーターが明確です。パラメーターflush_operator =“ OR”の目的のみを説明します。彼は、メッセージの新しいチャンクを既存のログファイルに追加する必要があることを指摘します。エンコーダーを変更することにより、記録されたメッセージの形式を確認でき、message_matcherはメッセージが正しいタイプであることを確認するのに役立ちます。オフにして、すべてを記録し始めます。これは、message_matcherフィルターのエラーまたはメッセージが生成されないことを検出するのに役立つ場合があります。

Zabbixトラッパー

次に、カスタムエンコーダーの仕組みについて説明します。追加のプラグインはすべて/ usr / share / heka /になければなりません。このエンコーダーがあるので、ここに配置します-/usr/share/heka/lua_encoders/zabbix_trapper.lua。彼の中でどんな種類のギアが回るのか見てみましょう。

Heka用Zabbix Trapperモジュール

 require "os" require "string" require "table" --  JSON. -- https://www.kyne.com.au/~mark/software/lua-cjson.php local cjson = require("cjson") function process_message() --    Zabbix. local host = read_message("Hostname") --   . local key = read_message("Fields[Key]") --   . local value = read_message("Fields[Value]") --   JSON-. local message = {} --   ,        syslog . message["host"] = string.sub(host, 1, -2) message["key"] = key message["value"] = value local buffer = {message} local zabbix_message = {} zabbix_message["request"] = "sender data" zabbix_message["data"] = buffer --   payload  ,       ,   JSON. inject_payload("json", "Payload", cjson.encode(zabbix_message)) return 0 end

CJSONライブラリーはLuaがアクセスできる場所にあるはずなので、/ usr / share / heka / lua_modules / cjson.soに置きます。

Zabbixのテンプレート

テンプレートの機能のうち、データ要素は「ログ（ログ）」情報タイプとeventlog.1102キーを持つZabbix Trapperタイプである必要があることに注意してください。

Zabbixテンプレート

 <?xml version="1.0" encoding="UTF-8"?> <zabbix_export> <version>3.0</version> <date>2016-10-01T13:30:30Z</date> <groups> <group> <name> </name> </group> </groups> <templates> <template> <template>Template Windows Users Audit</template> <name>Template Windows Users Audit</name> <description>,   ,     .</description> <groups> <group> <name> </name> </group> </groups> <applications> <application> <name> </name> </application> <application> <name></name> </application> </applications> <items> <item> <name>  .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.1102</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>     .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>    .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4624</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>        .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>       .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4625</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>         .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>   .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4720</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>     .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>    .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4724</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>      .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>   .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4725</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>     .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>   .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4726</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>     .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>    .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4731</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>     .</description> <inventory_link>0</inventory_link> <applications> <application> <name> </name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>     .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4732</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>       .</description> <inventory_link>0</inventory_link> <applications> <application> <name> </name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>     .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4733</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>       .</description> <inventory_link>0</inventory_link> <applications> <application> <name> </name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>    .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4734</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>      .</description> <inventory_link>0</inventory_link> <applications> <application> <name> </name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>    .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4735</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>      .</description> <inventory_link>0</inventory_link> <applications> <application> <name> </name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>   .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4738</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>      .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>   .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4740</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>     .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> <item> <name>   .</name> <type>2</type> <snmp_community/> <multiplier>0</multiplier> <snmp_oid/> <key>eventlog.4781</key> <delay>0</delay> <history>1</history> <trends>0</trends> <status>0</status> <value_type>2</value_type> <allowed_hosts/> <units/> <delta>0</delta> <snmpv3_contextname/> <snmpv3_securityname/> <snmpv3_securitylevel>0</snmpv3_securitylevel> <snmpv3_authprotocol>0</snmpv3_authprotocol> <snmpv3_authpassphrase/> <snmpv3_privprotocol>0</snmpv3_privprotocol> <snmpv3_privpassphrase/> <formula>1</formula> <delay_flex/> <params/> <ipmi_sensor/> <data_type>0</data_type> <authtype>0</authtype> <username/> <password/> <publickey/> <privatekey/> <port/> <description>      .</description> <inventory_link>0</inventory_link> <applications> <application> <name></name> </application> </applications> <valuemap/> <logtimefmt/> </item> </items> <discovery_rules/> <macros/> <templates/> <screens/> </template> </templates> <triggers> <trigger> <expression>{Template Windows Users Audit:eventlog.4732.nodata(120)}=0</expression> <name>{HOST.NAME}:      .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:      . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.1102.nodata(120)}=0</expression> <name>{HOST.NAME}:   .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:   . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4740.nodata(120)}=0</expression> <name>{HOST.NAME}:    .</name> <url/> <status>0</status> <priority>3</priority> <description>{HOST.NAME}:    . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4735.nodata(120)}=0</expression> <name>{HOST.NAME}:     .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:     . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4738.nodata(120)}=0</expression> <name>{HOST.NAME}:    .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:    . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4781.nodata(120)}=0</expression> <name>{HOST.NAME}:    .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:    . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4725.nodata(120)}=0</expression> <name>{HOST.NAME}:    .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:    . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4724.nodata(120)}=0</expression> <name>{HOST.NAME}:     .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:     . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4731.nodata(120)}=0</expression> <name>{HOST.NAME}:     .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:     . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4720.nodata(120)}=0</expression> <name>{HOST.NAME}:    .</name> <url/> <status>0</status> <priority>4</priority> <description>{HOST.NAME}:    . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4734.nodata(120)}=0</expression> <name>{HOST.NAME}:     .</name> <url/> <status>0</status> <priority>3</priority> <description>{HOST.NAME}:     . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4726.nodata(120)}=0</expression> <name>{HOST.NAME}:    .</name> <url/> <status>0</status> <priority>3</priority> <description>{HOST.NAME}:    . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4733.nodata(120)}=0</expression> <name>{HOST.NAME}:      .</name> <url/> <status>0</status> <priority>3</priority> <description>{HOST.NAME}:      . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4624.nodata(10)}=0</expression> <name>{HOST.NAME}:     .</name> <url/> <status>0</status> <priority>1</priority> <description>{HOST.NAME}:     . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> <trigger> <expression>{Template Windows Users Audit:eventlog.4625.nodata(120)}=0</expression> <name>{HOST.NAME}:        .</name> <url/> <status>0</status> <priority>2</priority> <description>{HOST.NAME}:        . {ITEM.LASTVALUE}</description> <type>0</type> <dependencies/> </trigger> </triggers> </zabbix_export>

おそらく、あなたはすでにトリガーの奇妙な配置に気づいているでしょう。しきい値がなく、着信データに一貫性がないため、このようなトリガーの構築は最も正しいと思われました。トリガーは2分間燃えますが、重要度が高いと対応する通知が送信され、イベントは失われません。

そして、結果は何ですか？

システムは、構成された放電から判明し、忘れていました。彼は、メンテナンスを必要とせずに、数か月間、操作分野で一生懸命働いています。もちろん、優れたシステムと同様に、拡張の可能性があります。将来の計画から：

幅広いイベント。
テンプレートの最適化。
バッチでイベントを送信するためのサポート（大規模なストリームに適しています）。
TCP接続のより最適な開閉（オーバーヘッドの削減）。

さて、そして一連の分析の終わりに-データベースへの直接ロギングと最適化後のZabbixサーバーキューのスケジュール。

ダイレクトロギングを有効にしようとする悲惨な試み-キューが異常に大きくなり、Zabbixが半分に割れてしまうのを見ることができますが、患者はほとんど救うことができませんでした。 1つのホストがセキュリティログにかなり高い負荷で記録されました。

すでに真実に似ています。はい、特定の数のメッセージがキューに残っていますが、これはWindowsログの問題ではなく、一般に、キューの合計長によってパフォーマンスの向上を推定できます。さらに、2つのホストがここで監視され、メッセージは少なくなりませんが、この特定の監視サブシステムの負荷は一般的なバックグラウンドに対して正常に失われます。

PS何のふりもせずに、彼の決定を共有することは興味深いものでした。誰かが代替案を知っているなら、私はあなたのコメントを喜んでいるでしょう。

もう一度Zabbixにログを保存することについて