Log监控

时间:2024-04-14 14:14:15

 

关于日志的监控,hinemos里提供了两种监控手段,一种是系统日志监控,另一种是日志文件监控

那这两种的区别在于:

1.系统日志监控监控的是/var/log/message,而日志文件监控,是可以自定义日志文件的。

2.系统日志监控不需要安装hinemos agent,而日志文件监控是必须要安装hinemos agent的。

 

对象结点设定

这两种日志监控方式,都是通过rsyslog的功能来实现的,如果是系统日志监控,并且对象结点里没有安装hinemos agent,那么必须在/etc/rsyslog.conf文件的最后,添加上将日志转送给hinemos manager服务器的设置

*.info;mail.none;authpriv.none;cron.none @@192.168.75.128:514

(192.168.75.128是hinemos Manager的IP)

但是如果安装了hinemos agent,那么在安装的同时也会对rsyslog进行设置,这样就不需要手动添加上面的那行设置,

它是在/etc/rsyslog.d/rsyslog_hinemos-agent.properties里生成

[[email protected] rsyslog.d]# cat rsyslog_hinemos_agent.conf        
#        
# Hinemos Agent  (for syslog monitoring)        
#        
*.info;mail.none;authpriv.none;cron.none                @@192.168.100.96:514        
[[email protected] rsyslog.d]#

 

监视结果测试

关于系统日志监控项,对象结点设置完上面的信息之后,可以通过手动写log来确认监控项的设置效果。

 

 [root]# logger "hello world"   
 [root]# logger "ERROR: warning there is something wrong"

 

可以通过确认客户端的event状态发现,有error通知,warning there is something wrong

 

EVENT_FOR_TRAP设定

默认情况下,系统日志监控的设定选项中,有event_for_trap这个设置项,默认情况下,该项的设置是,30分钟内,同一重要度的通知,仅通知一次。如果希望所有的通知都提示的话,需要将默认设置修改成一直都通知。

 

如何匹配监控字符

从第一个开始匹配,如果匹配上了,那么下面的字符串就不会再去匹配

 

处理原理

rsyslog里的设置可以看出,对象结点产生的日志信息被发送到Hinemos Manager服务器的工作模式来处理的,那么确实是将日志文件发送给Hinemos Manager里,然后再去匹配那么定义的字符串吗,旧版本确实是这样的,但是从4.1版本开始,就不在是这样的处理方式,比较的这个过程不再是在HinemosManager里,而是在各个对象结点,通过hinemos agent来判断匹配,然后Hinemos agent将有问题的消息传给Hinemos Manager,这样大大降低了Hinemos Manager的负荷。


Log监控
 

 

参考:http://www.hinemos.info/ja/technology/nttdata/2014091901      
 http://www.hinemos.info/ja/technology/nttdata/2015092901