zabbix3.2添加日志文件监控

之前安装好 zabbix3.2与oracle，具体详见：http://www.micoder.cc/blog/1953.html

需要添加服务器的应用服务的日志监控与系统登陆信息监控，这里就作一个简单的例子。

在zabbix上配置监控主机后，添加监控项目：

监控日志key

首先要了解key，

log[ file  ,<regexp>,<encoding>,<maxlines>,<mode>,<output>]

file：文件名，写绝对路径

regexp：要匹配内容的正则表达式，或者直接写你要检索的内容也可以，例如我想检索带ERROR关键词的记录

encoding：编码相关，留空即可

maxlines：一次性最多提交多少行，这个参数覆盖配置文件zabbxi_agentd.conf中的’MaxLinesPerSecond’，我们也可以留空

mode：默认是all，也可以是skip，skip会跳过老数据

output：输出给zabbix server的数据。可以是\1、\2一直\9，\1表示第一个正则表达式匹配出得内容，\2表示第二个正则表达式匹配错的内容。

项目：oracle_error_log

类型 ： zabbix agent（active）

键值   ：  log[/data/app/oracle/diag/rdbms/hextrack/hextrack/trace/alert_hextrack.log,"Warning|ORA\-",gbk,,,]

这里是监控oracle告警文件中Warning或是ORA-开头的内容，采用GBK编码。

信息类型:   log

log time format（日志时间格式)：MMpddphh:mm:ss 

/*对应日志的行头Sep 14 07:32:38，y表示年、M表示月、d表示日、p和:一个占位符，h表示小时，m表示分钟，s表示秒。

第二个项目： login_log

  键值   ：         logrt[/var/log/secure\-*,"(Accepted|Failed) password",,,skip,,]

这里是需要监控 /var/log/目录下secure命令开始的文件，因为日志文件作了切割。

选取Accepted password 或Failed password 的行日志返回给zabbix.

两者的区别

log[file,<regexp>,<encoding>,<maxlines>,<mode>,<output>,<maxdelay>]                     日志文件监控。返回日志

logrt[file_regexp,<regexp>,<encoding>,<maxlines>,<mode>,<output>,<maxdelay>]     日志文件监控与轮转服务。返回日志

最后再 最新数据或last data 中，查看对应的主机监控信息，会有日志提示。