■ログ監視をするにはclient-local.cfgファイルとhobbit-clients.cfgファイルの両方を設定する必要があります。
・client-local.cfg (Hobbitクライアント側:監視したいログファイルを指定する)
・hobbit-clients.cfg (Hobbitサーバ側:マッチパターンを検出、警告レベルの判定を行う)
■hobbit-clients.cfgファイルの設定方法 []は任意オプション
LOG logfilename pattern [COLOR=color] [IGNORE=excludepattern]
■オプションの内容
・logfilename
監視するログのファイル名を指定します。(フルパスで指定します)
・pattern
エラーを検知したいパターンを正規表現で指定します。
・COLOR
マッチするパターンを検知した場合の警告レベルを指定します(red:yellow)
(指定がない場合はred)
・IGNORE
無視するパターンを正規表現で指定します。
(パターンに一致した行でもIGNOREのパターンに一致する場合は無視します)
■設定例
1)システムログにI/Oエラー、SCSIエラーが出た場合にステータスを赤にする
LOG /var/log/messages %.(I/O|SCSI).error COLOR=red
2)デーモンログにWARNINGもしくはNOTICEの文字列が出た場合にステータスを黄色にする。ただし、lprの文字列がある場合を除く
LOG /var/log/daemon.log %WARNING|NOTICE COLOR=yellow IGNORE=lpr
デフォルトではログ監視をしない設定。(監視対象とするログ、検知文字列がないため)
color="red", no "excludepattern".
【Q&A】
Q.エラー検知後にログファイルからエラーの行を削除すると?
A.すぐにグリーンになる。
Q.ログファイルのエラーを放置しておくと?
A.エラーが連続して出続けなければ、検知から30分後にグリーンとなる。
Q.ログ監視は複数設定することが可能?
A.システムログとクーロンログなど、併せて設定することは可能だがmsgs項目は一つなので、
どのログでエラーとなっているか非常に分かりずらい。⇒カスタム監視にしたほうがよいでしょう
Q.監視したいログの形式は?
A.日時 ホスト名 エラーメッセージの順
Feb 5 14:00:39 zkanshi00 sshd(pam_unix)[1355]: session closed for user root
0 件のコメント:
コメントを投稿