监控日志是运维人员日常生活里必不可少的一个环节,而且日志是一个进程执行的重中之重,由于日志记录了程序运行的吃喝拉撒所有事件,所以在故障排除的时候,结合日志找障碍点是必不可少的!而且我们也会要主动去被提醒日志里的几个重点词语,比如“ERROR!”,比如“WARINIG!”,比如“Alarm!”,比如“女排姑娘好样的你们真给国家争气,看这些女排妹子真喜欢一个个都是大长腿美颜外加D罩杯”。而zabbix作为一个优秀的监控软件,就可以当以上几个关键词出现在日志的第一时间或报警或记录。
举个例子,假设我们要监控一个进程日志,这个进程叫mrs,不用浪费时间去baidu这个mrs,这个是我公司内部用的是一个程序。而目标就是当这个mrs.log日志里出现ERROR的时候,就要报警,通知悲摧的运维和开发pl们。
首先我们先建立一个item,如图:
注意一下,这里的type是active,因为被监控的服务器是需要主动把日志送给server端的。而key写的是log[/mnt/hswx/mrs/logs/mrs.log,ERROR,,,,],我这里详细说一下。
log这个key的格式是这样的:log[file,<regexp>,<encoding>,<maxlines>,<mode>,<output>],里面各项意思如下:
file:文件名,写绝对路径;
regexp:要匹配内容的正则表达式,或者直接写你要检索的内容也可以,例如我想检索带ERROR关键词的记录;
encoding:编码相关,留空即可;
maxlines:一次性最多提交多少行,这个参数覆盖配置文件zabbxi_agentd.conf中的’MaxLinesPerSecond’,我们也可以留空;
mode:默认是all,也可以是skip,skip会跳过老数据;
output:输出给zabbix server的数据。可以是\1、\2一直\9,\1表示第一个正则表达式匹配出得内容,\2表示第二个正则表达式匹配错的内容。
由于在这里我们只需要挑出ERROR的语句,后面的那些七七八八都用不上,所以就直接写log[/mnt/hswx/mrs/logs/mrs.log,ERROR,,,,]就好了。
日志的格式选择“log”,每10秒钟一次更新,保存90天,这些都是老话常谈。至于Log time format写成yyyy-MM-dd hh:mm:ss是规范了纪录时间的格式,我们采用的格式就是“年-月-日:小时-分钟-秒”,一会就会看到效果。
写完之后,保存,返回到Monitoring---lastest Data,找到我们刚刚建立的这个item,
点击右侧的history,就可以看到这样的内容了。
这里的local time就是我们设置item时候的那个log time format,它也的确是按着“年-月-日:小时-分钟-秒”这个格式记录的。
我们可以看到value里说18:39:53有一个ERROR日志,那么登陆到这台服务器上,去服务器的mrs.log里看一下是否有这样一模一样的日志内容呢?
可以看到内容是一模一样的,就这样,我们达到了监控日志的目的!
然后就是根据这个item设定trigger和action,这些东西看个人具体需求我也就不赘述了。
当然有人会有提问,日志文件在实际生产的时候是常常需要被切割的,比如这个mrs.log,总不会永无止境的保存下去,而是会按时间/大小切成mrs.log.1、mrs.log.2...,既然这样怎么办?那么就要用logrt这个key,这个key是支持正则表达式的,针对上面这个情况我们只需要把原来的key改成“logrt[/绝对路径/mrs.log.*,ERROR,,,,]”就可以啦。
但是要注意哦,logrt只能给文件增加正则表达式,对路径是不支持的~~