zabbix监控日志文件

环境：

操作系统：centos 6.8  ，zabbix软件版本：zabbix 3.0.1

前提条件：zabbix客户端已经配置了主动模式，如何配置主动模式，请参考此文

监控日志keys

首先要了解key
log[ file  ,<regexp>,<encoding>,<maxlines>,<mode>,<output>]

file：文件名，写绝对路径

regexp：要匹配内容的正则表达式，或者直接写你要检索的内容也可以，例如我想检索带ERROR关键词的记录

encoding：编码相关，留空即可
maxlines：一次性最多提交多少行，这个参数覆盖配置文件

zabbxi_agentd.conf中的’MaxLinesPerSecond’，我们也可以留空

mode：默认是all，也可以是skip，skip会跳过老数据

output：输出给zabbix server的数据。可以是\、\2一直\，\1表示第一个正则表达式匹配出得内容，\2表示第二个正则表达式匹配错的内容。

备注：推荐使用第二个参数，指定监控的具体内容来监控，如果不加指定内容监控，就会监控所有信息，这样会给服务器带来很大负担。

1.监控系统安全登录日志

1.1、访问日志配置权限（被控端）

安全登录日志一般放在/var/log/secure中，接下来我们就来操作这个日志。

[root@iZ2ze275oaub8pm0zy4g6eZ ~]# id zabbix     ##安装完zabbix自己添加的用户
uid=(zabbix) gid=(zabbix) groups=(zabbix)
[root@iZ2ze275oaub8pm0zy4g6eZ ~]# chown zabbix.root /var/lo
local/ lock/  log/
[root@iZ2ze275oaub8pm0zy4g6eZ ~]# chown zabbix.root /var/log/secure
[root@iZ2ze275oaub8pm0zy4g6eZ ~]# ll /var/log/secure
-rw-------  zabbix root  Mar  : /var/log/secure

1.2、zabbix web页面配置

1.2.1、创建应用集

【配置】-【主机】，选择已经配置好的主机（主动模式监控），点击应用集。

1.2.2、创建监控项

说明：

1.类型必须选择 zabbix_agent(active),因为数据是zabbix被控端主动传给服务器端的。

2.日志时间格式：yyMMddphh:mm:ss      y表示年，M表示月，d表示日，p和：表示占位符，h表示小时，m表示分钟，s表示秒。

经过上面的配置，如果我们在客户端上测试登录，我们就可以看到客户端上的新登录的用户的日志。

1.2.3、设置触发器

1.2.4测试

尝试登录记录日志的这台zabbix客户端，故意输错密码时，就会触发刚设定的触发器，出现下面的报警。

同样也可以监控mysql ，Redis，nginx等访问日志。