nagios - 48 時間以内にメッセージが受信されない場合の Nagios 通知

Question

過去48 時間以内に発生したNagiosことを簡単に確認し、アラームを鳴らすことができます。ただし、特定のメッセージが48 時間以内に発生しなかった場合にアラームを鳴らすLogMessageように構成することをお勧めします。Nagios

誰かが私を正しい方向に向けることができますか?

Windows ボックスのイベント ログをチェックするために、「Check WMI Plus」プラグイン (エージェントは不要) を使用しています。

Answer 1

あなたの正確な「特定のメッセージ」が何であるかを知らなければ、特定の答えを出すのは難しいですが、私たちはこれを行うことができます:

過去 48 時間に「Windows グループ ポリシーの処理に失敗しました」というエラーまたは警告イベントが発生していない場合、CRITICAL イベントを発生させます。

-w および -c オプションを使用して、check_wmi_plus で WARNING および CRITICAL イベントの基準を定義します。

そこからcheck_wmi_plus.pl --help | less -iヘルプが得られ、checkeventlog オプションを見つけることができます。

2 つのトリックがあります。

1. checkeventlog には _ItemCount フィールドが 1 つしかないため、指定する必要はありません
2. 0 のみを含む値の範囲を指定する場合は、次を使用します。@0:0

まず、events.ini ファイルで特定のセクションを定義します。私は：/opt/nagios/bin/plugins/check_wmi_plus.d/events.ini

私はこれを追加しました：

[eventSpecial]

im=Group Policy failed

[eventdefault] セクションのすぐ下に追加しました。

基本的にim=は「メッセージを含める」という意味で、指定しないとすべてが含まれるので、指定することで「この正規表現に一致するメッセージのみを含める」ということになります。

次に、checkeventlog のコマンドが必要です

私が使う：

/opt/nagios/bin/plugins/check_wmi_plus.pl -H HOST -u USER -p PASS  -m checkeventlog -a % -o 2 -3 48 -4 eventSpecial -c @0:0

したがって、オプションの引数の場合 (ここでも --help オプションを使用):

-a % == すべてのイベント ログを検索

-o 2 == 警告とエラーの重大度のみ

-3 48 == 過去 48 時間

-4 eventSpecial == 作成した events.ini のセクションを参照

-c @0:0 == 発生回数がちょうど 0 の場合、CRITICAL を発生させます

このコマンドを使用すると、期間中にメッセージがある場合、次のようになります。

OK - 重要度レベル「エラー、警告」の 3 つのイベントが、% イベント ログから過去 48 時間に記録されました。(リストは次の行にあります。表示されるフィールドは次のとおりです - Logfile:TimeGenerated:SeverityLevel:EventId:Type:SourceName:Message)|'Event Count'=3;0; システム:20130604195600.378642-000|エラー:1129:0:Microsoft-Windows-GroupPolicy:ドメイン コントローラーへのネットワーク接続がないため、グループ ポリシーの処理に失敗しました。これは一時的な状態である可能性があります。マシンがドメイン コントローラに接続され、グループ ポリシーが正常に処理されると、成功メッセージが生成されます。成功メッセージが数時間表示されない場合は、管理者に連絡してください。システム:20130604055521.084809-000|エラー:1129:0:Microsoft-Windows-GroupPolicy: ドメイン コントローラへのネットワーク接続がないため、グループ ポリシーの処理に失敗しました。これは一時的な状態である可能性があります。マシンがドメイン コントローラに接続され、グループ ポリシーが正常に処理されると、成功メッセージが生成されます。成功メッセージが数時間表示されない場合は、管理者に連絡してください。システム:20130603220259.894040-000|エラー:1055:0:Microsoft-Windows-GroupPolicy:グループ ポリシーの処理に失敗しました。Windows はコンピューター名を解決できませんでした。これは、次のいずれかが原因である可能性があります。成功メッセージが数時間表示されない場合は、管理者に連絡してください。システム:20130603220259.894040-000|エラー:1055:0:Microsoft-Windows-GroupPolicy:グループ ポリシーの処理に失敗しました。Windows はコンピューター名を解決できませんでした。これは、次のいずれかが原因である可能性があります。成功メッセージが数時間表示されない場合は、管理者に連絡してください。システム:20130603220259.894040-000|エラー:1055:0:Microsoft-Windows-GroupPolicy:グループ ポリシーの処理に失敗しました。Windows はコンピューター名を解決できませんでした。これは、次のいずれかが原因である可能性があります。
a) 現在のドメイン コントローラでの名前解決の失敗。b) Active Directory レプリケーションの待ち時間 (別のドメイン コントローラーで作成されたアカウントが現在のドメイン コントローラーにレプリケートされていない)。

これには重大なイベントは含まれません。

何もない場合は、次のようになります。

CRITICAL - [0:0 の範囲の _ItemCount によってトリガーされた] - 過去 4 時間に重大度レベル: "エラー、警告" の 0 イベントが % イベント ログから記録されました。|'Event Count'=0; 0;

私の基準に一致するエントリがログ ファイルになかったため、これには重大なイベントが含まれます。

また、適切な $USER8$ マクロを使用して標準の Nagios コマンドを定義し、それを構成に含めることができます。