Differences

This shows you the differences between two versions of the page.

--- zabbix_logs [2025/11/08 08:59]
val
+++ zabbix_logs [2026/04/13 14:47] (current)
val
@@ Line 29: / Line 29: @@
 # cat /var/log/syslog | egrep -v 'DHCPACK|DHCPREQUEST|Wrote.*leases|sessionclean|ALLOWED|run-parts.*report'
+# grep -P '^(?!.*(?i:test|debug|verbose)).*(?i:error|warn|critical)' /var/log/syslog
 # cat /etc/zabbix/zabbix_agentd.conf
@@ Line 37: / Line 39: @@
 </code><code>
 # usermod -aG adm zabbix
+# hostname
+abcd.corpX.un
 # service zabbix-agent restart
+Host: abcd.corpX.un
 Item:
   Name: Error log in syslog
   Type: Zabbix Agent(active)
-  Key: log[/var/log/syslog,rror]  или  log[/var/log/syslog,(?i)error]
+  Key: log[/var/log/syslog,(?i)error]
+       log[/var/log/syslog,^(?!.*(?i:test|debug|verbose)).*(?i:error|warn|critical),,,skip]
   History: 1d
@@ Line 49: / Line 57: @@
   Name: Unknown log in syslog
   Type: Zabbix Agent(active)
-  Key: log[/var/log/syslog]
+  Key: log[/var/log/syslog,,,,skip]
   Preprocessing:
     Name: Does not match regular expression
@@ Line 58: / Line 66: @@
   Name: Error|Unknown log in syslog on {HOST.NAME}
   Severity: Warning
-  Expression: nodata(/Zabbix server/log[/var/log/syslog,rror],1m)=0
+  Expression: nodata(/Zabbix server/log[/var/log/syslog, ... ],1m)=0
-  Expression: nodata(/Zabbix server/log[/var/log/syslog,(?i)error],1m)=0
-  Expression: nodata(/Zabbix server/log[/var/log/syslog],1m)=0
+</code>
+===== Разбор от DeepSeek =====
+<code>
+Разбор текущей конфигурации:
+. Подготовка системы (bash команды)
+bash
+# ###apt install rsyslog
+Установка rsyslog (обычно уже есть)
+bash
+# cat /var/log/syslog | grep -i 'error'
+Ручной поиск ошибок (для проверки)
+bash
+# cat /var/log/syslog | egrep -v 'DHCPACK|DHCPREQUEST|Wrote.*leases|sessionclean|ALLOWED|run-parts.*report'
+Просмотр syslog без "шумных" сообщений (DHCP, сессии и т.д.)
+bash
+# usermod -aG adm zabbix
+Критически важно! Добавляем пользователя zabbix в группу adm, чтобы он мог читать /var/log/syslog (обычно права 640, root:adm)
+. Проблема в текущих Item'ах
+У тебя два item'а, но в триггере почему-то три выражения:
+Item 1:
+text
+Key: log[/var/log/syslog,rror]
+Это ищет строки содержащие "rror" (опечатка? Должно быть "error"?)
+Item 2:
+text
+Key: log[/var/log/syslog]
+Preprocessing: Does not match regular expression
+Это собирает ВСЕ строки, но отбрасывает те, что попадают под regex.
+. Оптимизированная версия
+Вот как лучше настроить:
+bash
+# /etc/zabbix/zabbix_agentd.conf
+# Убедись, что активные проверки включены
+ServerActive=zabbix.server.com
+Hostname=abcd.corpX.un
+HostMetadata=linux
+Лучше сделать один item:
+text
+Item:
+  Name: Syslog errors and warnings
+  Type: Zabbix Agent (active)
+  Key: log[/var/log/syslog,"(?i)(error|fail|critical|alert)",,,skip,,]
+  Type of information: Log
+  History: 7d
+Или два отдельных (для разделения важности):
+text
+# Item для реальных ошибок
+Item:
+  Name: Syslog - Errors
+  Type: Zabbix Agent (active)
+  Key: log[/var/log/syslog,"(?i)error|fail|critical",,,skip,,]
+  Type: Log
+  History: 7d
+# Item для всего остального (с фильтрацией шума)
+Item:
+  Name: Syslog - Other important messages
+  Type: Zabbix Agent (active)
+  Key: log[/var/log/syslog]
+  Preprocessing:
+    - Name: Does not match regular expression
+      Parameters: DHCPACK|DHCPREQUEST|Wrote.*leases|sessionclean|ALLOWED|run-parts.*report|cron.*CMD|systemd.*Started
+    - Name: Custom on fail
+      Parameters: Discard value
+. Правильный триггер
+yaml
+Trigger:
+  Name: Error in syslog on {HOST.NAME}
+  Severity: Average  # или Warning
+  Expression: |
+    min(/Zabbix server/log[/var/log/syslog,"(?i)error|fail|critical"],5m) > 0
+Или для обоих типов:
+yaml
+Trigger:
+  Name: New error in syslog on {HOST.NAME}
+  Severity: High
+  Expression: |
+    min(/Zabbix server/log[/var/log/syslog,"(?i)error"],5m) > 0
+Trigger:
+  Name: New important message in syslog on {HOST.NAME}
+  Severity: Info
+  Expression: |
+    min(/Zabbix server/log[/var/log/syslog,"(?i)warn|unknown|invalid"],5m) > 0
+    and
+    min(/Zabbix server/log[/var/log/syslog,"(?i)error|fail|critical"],5m) = 0
+. Дополнительные полезные настройки
+В zabbix_agentd.conf можно добавить:
+bash
+# Увеличить буфер для логов
+BufferSize=1000
+# Специфичные для логов параметры
+LogRemoteCommands=0
+HostInterface=abcd.corpX.un
+Проверка прав:
+bash
+# После usermod нужно проверить:
+id zabbix
+# Должно показать: uid=... gid=... groups=...,adm
+# Перезапуск агента
+systemctl restart zabbix-agent
+# Проверка лога агента
+tail -f /var/log/zabbix/zabbix_agentd.log
+Еще полезные regex для фильтрации:
+text
+# Исключить совсем уж шумные сообщения
+DHCPACK|DHCPREQUEST|Wrote.*leases|sessionclean|ALLOWED|run-parts.*report|cron.*CMD|systemd.*Started|systemd.*Stopped|User Slice|Session|Removed
 </code>

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools