Log监控

 

关于日志的监控，hinemos里提供了两种监控手段，一种是系统日志监控,另一种是日志文件监控

那这两种的区别在于：

1.系统日志监控监控的是/var/log/message，而日志文件监控，是可以自定义日志文件的。

2.系统日志监控不需要安装hinemos agent,而日志文件监控是必须要安装hinemos agent的。

 

对象结点设定

这两种日志监控方式，都是通过rsyslog的功能来实现的，如果是系统日志监控，并且对象结点里没有安装hinemos agent，那么必须在/etc/rsyslog.conf文件的最后，添加上将日志转送给hinemos manager服务器的设置

*.info;mail.none;authpriv.none;cron.none @@192.168.75.128:514

（192.168.75.128是hinemos Manager的IP）

但是如果安装了hinemos agent，那么在安装的同时也会对rsyslog进行设置，这样就不需要手动添加上面的那行设置，

它是在/etc/rsyslog.d/rsyslog_hinemos-agent.properties里生成

[root@Ap1 rsyslog.d]# cat rsyslog_hinemos_agent.conf        
#        
# Hinemos Agent  (for syslog monitoring)        
#        
*.info;mail.none;authpriv.none;cron.none                @@192.168.100.96:514        
[root@Ap1 rsyslog.d]#

 

监视结果测试

关于系统日志监控项，对象结点设置完上面的信息之后，可以通过手动写log来确认监控项的设置效果。

 

 [root]# logger "hello world"   
 [root]# logger "ERROR: warning there is something wrong"

 

可以通过确认客户端的event状态发现，有error通知，warning there is something wrong

 

EVENT_FOR_TRAP设定

默认情况下，系统日志监控的设定选项中，有event_for_trap这个设置项，默认情况下，该项的设置是，30分钟内，同一重要度的通知，仅通知一次。如果希望所有的通知都提示的话，需要将默认设置修改成一直都通知。

 

如何匹配监控字符

从第一个开始匹配，如果匹配上了，那么下面的字符串就不会再去匹配

 

处理原理

rsyslog里的设置可以看出，对象结点产生的日志信息被发送到Hinemos Manager服务器的工作模式来处理的，那么确实是将日志文件发送给Hinemos Manager里，然后再去匹配那么定义的字符串吗，旧版本确实是这样的，但是从4.1版本开始，就不在是这样的处理方式，比较的这个过程不再是在HinemosManager里，而是在各个对象结点，通过hinemos agent来判断匹配，然后Hinemos agent将有问题的消息传给Hinemos Manager，这样大大降低了Hinemos Manager的负荷。

 

 

参考：http://www.hinemos.info/ja/technology/nttdata/2014091901      
 http://www.hinemos.info/ja/technology/nttdata/2015092901