ログと監視の微妙な関係  こんな log はイヤだ
自己紹介CN: 九龍真乙(くりゅうまおと)日頃はユーザサポートや仮想化、監視ソフトについての講演など。VCP4,RHCVAこのたび logstudy を立ち上げました。twitter:@qryuu
ログ監視ってログ監視て、まさかの目 grep?普通は監視ツールで収集でも採れない!バグだ!バグじゃねぇよ!ログの吐き方が悪いんだよ!そんな実例をご紹介Zabbix 勉強会じゃないよ!
イベントログの場合
表示内容はソース "ASA 9.0" からのイベント ID 1 の説明が見つかりませ ん。このイベントを発生させるコンポーネントがローカル コ ンピュータにインストールされていないか、インストールが 壊れています。ローカル コンピュータにコンポ...
Zabbix で収集してみたらThe description for Event ID (1) in Source (ASA  9.0) cannot be found. The local computer may  not have the...
イベントログの仕組みそもそも、イベントログはただのテキストファ イルではありません。 イベントログが持っているのは、ID とパラメータだけですログメッセージは通常、 DLL ファイルとして 登録され、イベントビューアでは ID を基に DLL ...
で、先ほどのメッセージは『ソース "ASA 9.0" からのイベント ID 1 の説明が見つかりま せん。』つまり、 DLL ファイルがちゃんと作成されていな いというイベントログからのメッセージであっ て、ログメッセージはそもそも存在しない。...
ただし、 DLL ファイルがあっても同じような英語ッセージが出る場合があります。Windows 2008 から新たに追加された Windows  イベントログ 6.0 を使っている場合。API の互換性がないので、採れません。Zabbix( 本...
ログローテションすると文字化けする?logrt を使っていて、ログローテーションのタ  イミングで、変な文字が収集される。logrt のバグ?!
ログローテションすると文字化けする?logrt は正規表現で名前が一致するファイルの  一覧を取得し、更新日時を基にファイルの同  一性を確認して、ログの続きを取得してから  ローテーションされた新しいログを続けて読  みます。ローテーションし...
log が変なところで改行される。テキストログでログファイルの改行位置 と、 Zabbix で採ったときで改行の位置が違 う!Zabbix_agent は改行コード、もしくはファイ  ルエンドまでを 1 つのログメッセージとして  Server...
log が遅れて検知されるlog が 1 時間くらい遅れて検知される。syslog の仕様です。syslog では完全同一メッセージを受信した場合2 つめの以降のメッセージは異なるメッセージ  を受信したタイミングでファイルに書き出し  ます。
log が遅れて検知される3 つ以上だとカウントメッセージが出るので  わかりやすいですが、 2 つだけの場合は  カウントメッセージが出ないので誤解しやす  いです。しかも書き出した時に log ファイルに書かれる  タイムスタンプは sys...
参考資料Web/DB プログラミング徹底解説 イベントログの仕組み
Upcoming SlideShare
Loading in …5
×

Logstudy01 LT

1,348 views

Published on

半年前の #logstudy01 でのLT資料を公開しました。

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,348
On SlideShare
0
From Embeds
0
Number of Embeds
40
Actions
Shares
0
Downloads
7
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Logstudy01 LT

  1. 1. ログと監視の微妙な関係 こんな log はイヤだ
  2. 2. 自己紹介CN: 九龍真乙(くりゅうまおと)日頃はユーザサポートや仮想化、監視ソフトについての講演など。VCP4,RHCVAこのたび logstudy を立ち上げました。twitter:@qryuu
  3. 3. ログ監視ってログ監視て、まさかの目 grep?普通は監視ツールで収集でも採れない!バグだ!バグじゃねぇよ!ログの吐き方が悪いんだよ!そんな実例をご紹介Zabbix 勉強会じゃないよ!
  4. 4. イベントログの場合
  5. 5. 表示内容はソース "ASA 9.0" からのイベント ID 1 の説明が見つかりませ ん。このイベントを発生させるコンポーネントがローカル コ ンピュータにインストールされていないか、インストールが 壊れています。ローカル コンピュータにコンポーネントをイ ンストールするか、コンポーネントを修復してください。イベントが別のコンピュータから発生している場合、イベント と共に表示情報を保存する必要があります。イベントには次の情報が含まれています :ASANYs_sem5Successfully started service ASANYs_sem5
  6. 6. Zabbix で収集してみたらThe description for Event ID (1) in Source (ASA 9.0) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. The following information is part of the event: ASANYs_sem5; Successfully started service ASANYs_sem5 英語になってる!?
  7. 7. イベントログの仕組みそもそも、イベントログはただのテキストファ イルではありません。 イベントログが持っているのは、ID とパラメータだけですログメッセージは通常、 DLL ファイルとして 登録され、イベントビューアでは ID を基に DLL ファイルを参照して表示しています。
  8. 8. で、先ほどのメッセージは『ソース "ASA 9.0" からのイベント ID 1 の説明が見つかりま せん。』つまり、 DLL ファイルがちゃんと作成されていな いというイベントログからのメッセージであっ て、ログメッセージはそもそも存在しない。 イベントビューアはマルチ言語 UI なので、日本 語で表示しますが、 Zabbix が利用している API 経由だとシステムメッセージなので、英語しか 出てきません。
  9. 9. ただし、 DLL ファイルがあっても同じような英語ッセージが出る場合があります。Windows 2008 から新たに追加された Windows  イベントログ 6.0 を使っている場合。API の互換性がないので、採れません。Zabbix( 本家 ) のフォーラムには力業で採って くる魔改造のパッチが出ていますが ...
  10. 10. ログローテションすると文字化けする?logrt を使っていて、ログローテーションのタ イミングで、変な文字が収集される。logrt のバグ?!
  11. 11. ログローテションすると文字化けする?logrt は正規表現で名前が一致するファイルの 一覧を取得し、更新日時を基にファイルの同 一性を確認して、ログの続きを取得してから ローテーションされた新しいログを続けて読 みます。ローテーションした瞬間に圧縮されたら読 めんがな!
  12. 12. log が変なところで改行される。テキストログでログファイルの改行位置 と、 Zabbix で採ったときで改行の位置が違 う!Zabbix_agent は改行コード、もしくはファイ ルエンドまでを 1 つのログメッセージとして Server に送信します。ログを吐いてるプログラムが悪い。
  13. 13. log が遅れて検知されるlog が 1 時間くらい遅れて検知される。syslog の仕様です。syslog では完全同一メッセージを受信した場合2 つめの以降のメッセージは異なるメッセージ を受信したタイミングでファイルに書き出し ます。
  14. 14. log が遅れて検知される3 つ以上だとカウントメッセージが出るので わかりやすいですが、 2 つだけの場合は カウントメッセージが出ないので誤解しやす いです。しかも書き出した時に log ファイルに書かれる タイムスタンプは syslog が受信した当時の 時刻が書かれます。-mark- オプション付けるか、 rsyslog 使え。
  15. 15. 参考資料Web/DB プログラミング徹底解説 イベントログの仕組み

×