業務でZabbixを扱ってます。

とあるユーザさんからのお問い合わせで、

何らしらんけど過去アラームがちょこちょこ出てるんだけどなんで？？と問い合わせが。

ユーザさん曰く、

・ログローテはしてない

・他のログもない

・過去のアラートは何度も出ているがタイミングがよくわからない

らしい。

で、実際のログを確認してみると、確かによくわからない。

手元のログだけでは何ともできなかったので、ユーザさんのサーバにあるエージェントのログを見せてもらうことに。

・・・んん？？？？

なんだこれ、.swpファイルってやつを読みこんでるっぽいぞ。

で、ログから見るに、なぜかこの.swpファイルっていうものを検知してるみたい。

そういえばこのファイル、なんだか見覚えが・・・

！！！

そうです、vimでファイルを開くと、このスワップファイルが作られるんです。

で、色々察した私は実際にvimを使ってswpファイルを作ってみることに。

・・・出ました、で、それを展開すると・・・？

バイナリですよ、という警告とともに、編集中のログと同じ文字列が入っている。

ビンゴですね。

流れとしては、

①ユーザさんがログをvimで開く

②ログのswpファイルが作られる

③Zabbixの検知条件にヒットし、トリガーが発報する

④ユーザが発報したトリガーの元を見ようと再度ログをvimで確認する

⑤またswpファイルが出来上がる

⑥繰り返し・・・・

あー、恐ろしい負のスパイラル。

気が付いてよかった・・・・。

ちなみに、ログの名前を正規表現でゆるーくとってしまっていました。

明示的に少なくとも.swpファイルは取らないように変更しないと。

以上