Помогите разобраться с Log Monitoring

Started by aachern, April 03, 2018, 02:50:36 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions

aachern

April 03, 2018, 02:50:36 PM Last Edit: April 04, 2018, 09:49:54 AM by aachern
Допустим надо мониторить лог: C:\NetXMS_agent\demo.log и если в логе встречается 'error', то выполнять какое то действие, к примеру, alert на почту.

Я посмотрел инструкцию https://www.netxms.org/documentation/adminguide/log-monitoring.html, но из нее мало что понятно, нормальных примеров не нашел.

Давайте прямо по инструкции пойдем, с раздела Log Monitoring:

1. Agent Configuration for Log Monitoring

Это этот файл? C:\NetXMS_agent\etc\nxagentd.conf:

Quote#
#
# NetXMS agent configuration file
# Created by agent installer at Wed Mar 21 11:45:04 2018
#

MasterServers = 127.0.0.1
ConfigIncludeDir = C:\NetXMS_agent\etc\nxagentd.conf.d
LogFile = {syslog}
FileStore = C:\NetXMS_agent\var
RequireAuthentication = yes
SharedSecret = 123qweR
SubAgent = filemgr.nsm
SubAgent = ping.nsm
SubAgent = logwatch.nsm

# Below is log parsers definitions

*LOGWATCH
Parser = C:\NetXMS_agent\parser1.xml

SubAgent = portcheck.nsm
SubAgent = winperf.nsm



Parser1.xml, как и в примере:

Quote
<parser>
    <file>C:\NetXMS_agent\demo.log</file>
    <rules>
        <rule>
            <match>process startup failed</match>
            <context action="set" reset="auto">STARTUP_FAILED</context>
        </rule>
        <rule context="STARTUP_FAILED">
            <match>process:(.*)</match>
            <event params="1">200000</event>
        </rule>
    </rules>
</parser>

demo.log:

Quote
process:  5 6 54 4412345
process:  5 6 54 4412345
process:  5 6 54 4412345
process startup failed sdfsdf
process startup failed
process startup failed
process startup failed process:  5 6 54 4412345
process:  5 6 54 4412345
process:  5 6 54 4412345

А дальше что?

Есть хоть один рабочий пример, как следить за логами, или NetXMS под это не заточен, а заточен только под анализ системных логов, которые сам собирает?

Victor Kirhenshtein

#1
April 04, 2018, 12:30:36 PM
На всякий случай - у вас субагенты не в той секции прописаны (хотя вроде как дублируются в правильной секции тоже).

Парсер выглядит правильным, должен был послать событие с кодом 200000 (кстати можно использовать имена событий вместо кодов). А событие было послано? Если нет, надо смотреть лог агента - можно в тэг парсер добавить опцию trace="9" и запустить агент с высоким дебагом - будет подробный лог парсера.

aachern

#2
April 04, 2018, 04:41:16 PM Last Edit: April 05, 2018, 04:17:40 PM by aachern
После переустановки заработало
Print
Go Up Pages1
User actions