zabbix监控日志文件 MySQL日志为例（95）

凉白开

482
文章

11
评论

12/03/2015 01:00:57zabbix2773,88029字数 1948阅读6分29秒阅读模式

一般情况下，日志最先反映出应用当前的问题，在海量日志里面找到我们异常记录，然后记录下来，并且根据情况报警，大家可以监控系统日志、nginx、Apache、业务日志。这边我拿常见的MySQL日志做监控，大家看演示。

监控日志key

首先要了解key，文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

log[ file ,<regexp>,<encoding>,<maxlines>,<mode>,<output>]文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

file：文件名，写绝对路径文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

regexp：要匹配内容的正则表达式，或者直接写你要检索的内容也可以，例如我想检索带ERROR关键词的记录文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

encoding：编码相关，留空即可文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

maxlines：一次性最多提交多少行，这个参数覆盖配置文件zabbxi_agentd.conf中的’MaxLinesPerSecond’，我们也可以留空文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

mode：默认是all，也可以是skip，skip会跳过老数据文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

output：输出给zabbix server的数据。可以是\1、\2一直\9，\1表示第一个正则表达式匹配出得内容，\2表示第二个正则表达式匹配错的内容。文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

备注：我极力推荐大家使用第二个参数，看到网上一些zabbix监控日志的教程，几乎只有第一个参数，这样将会导致日志文件里的内容统统丢给zabbix_server记录，我想，这一定不是大家想看到的。文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

日志文件权限配置

给日志文件加上读取权限，为了演示方便，我直接给777文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

# chmod 777 /data/mydata/mydata_3306/li220-237.err

如果权限给的不到位，zabbix agent日志有类似如下报错：文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

4780:20150311:135742.401 cannot open '/data/mydata/mydata_3306/li220-237.err': [13] Permission denied
 4780:20150311:135742.401 active check "log[/data/mydata/mydata_3306/li220-237.err,ERROR,,,,]" is not supported
 4779:20150311:135742.402 cannot open '/data/mydata/mydata_3306/li220-237.err': [13] Permission denied
 4779:20150311:135742.402 active check "log[/data/mydata/mydata_3306/li220-237.err,ERROR,,,,]" is not supported

zabbix配置

Host>>目标主机>>item>>create item，如下：文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

zabbix日志监控

说明：文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

1. type必须选择zabbix agent（active），因为数据是zabbix被监控的主动提交给server文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

2. key：log[/data/mydata/mydata_3306/li220-237.err,ERROR,,,,]，我不多说了，细心的人会说，还有一个叫logrt得key，有什么区别，等会儿讲.文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

3. log time format：yyMMddphh:mm:ss，对应日志的行头150311 11:47:09，y表示年、M表示月、d表示日、p和:一个占位符，h表示小时，m表示分钟，s表示秒。文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

zabbix监控MySQL日志查看

切换到最新日志里面，找到相应数据，如下是我的监控截图文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

zabbix监控MySQL日志

接下来便是触发器，大家可以根据自己的情况来创建触发器，例如日志中包含某个字符串等等，如上图，我们可以触发执行mysql表修复。文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

logrt介绍

key：
log[ file,<regexp>,<encoding>,<maxlines>,<mode>,<output>]
logrt[file_regexp,<regexp>,<encoding>,<maxlines>,<mode>,<output>]

如果仔细看可以发现，第一个参数不一样，logrt的第一个参数可以使用正则表达式。针对日志回滚用得，例如我们每天都切割nginx日志，日志名位www.ttlsa.com_2017-01-01.log、www.ttlsa.com_2017-01-02.log等等，使用log肯定不合适，如果文件名使用正则，那么新增的日志文件会立即加入监控。文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

备注：不管新日志、老日志，只要他们有变更，zabbix都会监控。文章源自运维生存时间-https://www.ttlsa.com/zabbix/zabbix-monitor-logs/

我的微信

微信公众号

扫一扫关注运维生存时间公众号，获取最新技术文章~

懒人 0
07/06/2017 17:55:42 15F

请教下这里的日志监控日期格式应该如何配置?
logrt[D:\kcxp\log\%date:~0,4%%date:~5,2%%date:~8,2%\sys.log,success],
%date:~0,4%%date:~5,2%%date:~8,2% 代表20160607的日期格式，
用* 试过也不支持
- 小白菜 9
  25/04/2018 14:37:26 B1
  
  @ 懒人我也是这个问题，监控KCXP日志。官网上文档说到了，不支持目录正则，只支持文件名正则，所以就别费劲儿了。。
  https://www.zabbix.com/documentation/3.4/manual/config/items/itemtypes/log_items
  
  Regular expressions for logrt are supported in filename only, directory regular expression matching is not supported.
liulang628 0
13/03/2017 11:45:39 14F

我的日志监控不成功，
- 匿名 9
  01/04/2017 16:25:56 B1
  
  @ liulang628 解决没，我的3.0.8日志监控也没有成功，看不到数据
扛靶子 1
04/01/2017 21:10:36 13F

请问出现ZBX_NOTSUPPORTED ，accessible only as active check是什么原因，如何才能解决
- 匿名 9
  27/05/2017 10:32:40 B1
  
  @ 扛靶子我的也是，兄弟解决没？
- 匿名 9
  15/03/2018 11:38:28 B1
  
  @ 扛靶子解决了吗？
sea 9
23/09/2016 16:11:51 12F

zabbix监控MySQL日志
请问怎么写触发报警器？
苏幕遮 1
20/08/2016 11:24:49 11F

11997:20160820:112222.265 cannot stat ‘/mnt/hswx/mrs/logs/mrs.log’: [13] Permission denied
11997:20160820:112232.267 cannot stat ‘/mnt/hswx/mrs/logs/mrs.log’: [13] Permission denied
11997:20160820:112242.268 cannot stat ‘/mnt/hswx/mrs/logs/mrs.log’: [13] Permission denied
11997:20160820:112242.268 active check “log[/mnt/hswx/mrs/logs/mrs.log,ERROR,,,,]” is not supported
我把zabbix 添加到了suduer，而且把日志权限改成了666（日志本身没法执行，就666），但是还是会有上面的报错，请问怎么破？
- 啊啊啊 9
  10/10/2017 15:00:32 B1
  
  @ 苏幕遮父目录进不去
snowice 0
11/05/2016 18:02:30 10F

能不能问一下我这边用你的方法在zabbix服务端成功监控了日志但是客户端用同样的方法却获取不到数据客户端数据如cpu 内存使用情况能正常获取并且我已经关闭了两边的iptables和selinux.我实在不知道还有哪里有问题了能帮帮我么万分感谢
- 卢俊义 1
  24/05/2016 15:39:56 B1
  
  @ snowice 作者也不知道
仰望着星空 1
26/04/2016 11:20:18 9F

能具体说下logrt这个键值吗？我们现在日志是以back-log-201601，back-log-201602这种格式弄得，正则这样写对吗：logrt[back-log-_*]
85757916 3
30/03/2016 09:38:14 8F

谢谢分享…
三次握手 9
23/01/2016 11:21:45 7F

请问zabbix可以实现像计划任务似的功能吗，领导让我在特定的时间对日志进行过滤，如果可以的话，突然过滤大量的日志信息会不会让CPU跑满了。
- 凉白开 9
  25/01/2016 18:17:29 B1
  
  @ 三次握手可以配置时间段~
lklkxcxc 0
31/12/2015 09:53:12 6F

{Patrol:log[/home/zabbix/ora_alert.log].regexp(ORA|oracle,#50)}=1我这么设置tigger为什么报警的时候只能把log的第一条给告警出来，其它的条目在lastdata可以看到，但是就是不告警
vicky 0
07/11/2015 10:38:46 5F

请问这个Log time format的作用是什么啊？如果我不写，好像也能监控到数据。
谢谢
承轩 0
16/09/2015 17:24:31 4F

带日期的日志，使用通用的正则表达式就行？
Aceslup 9
24/04/2015 17:40:38 3F

<encoding>,<maxlines>,<mode>,<output>几个参数咋没介绍列。
- 凉白开 9
  02/09/2015 09:28:48 B1
  
  @ Aceslup 你没仔细看吧~
night 9
22/04/2015 18:51:14 2F

如果我同一个目录下日志非常的多，会不会造成 zabbix 疯狂的扫所有的日志？造成 zabbix_agentd 的某个子进程 CPU 100%？
- TTTLSA 9
  22/04/2015 20:21:49 B1
  
  @ night 请使用正则，文件不能太多。
时光飞逝 9
07/04/2015 10:12:09 1F

zabbix监控日志，被监控端的zabbix_agentd.conf中不用定义UserParameter 吗？
- TTLSA 9
  07/04/2015 20:57:18 B1
  
  @ 时光飞逝对的，不需要~
  - 时光飞逝 9
    08/04/2015 08:55:23 B2
    
    @ TTLSA 好吧，我用zabbix2.2.2，按照你的方法没看到有日志数据，（就是你说的“如下是我的监控截图”）
    - TTLSA 9
      08/04/2015 09:04:02 B3
      
      @ 时光飞逝 2.2也是一样的方法，请看服务器端和客户端两方面的日志。

评论已关闭！