Zabbixでほーん、、、となった話① 過去アラーム出ちゃう編
業務でZabbixを扱ってます。
とあるユーザさんからのお問い合わせで、
何らしらんけど過去アラームがちょこちょこ出てるんだけどなんで??と問い合わせが。
ユーザさん曰く、
・ログローテはしてない
・他のログもない
・過去のアラートは何度も出ているがタイミングがよくわからない
らしい。
で、実際のログを確認してみると、確かによくわからない。
手元のログだけでは何ともできなかったので、ユーザさんのサーバにあるエージェントのログを見せてもらうことに。
・・・んん????
なんだこれ、.swpファイルってやつを読みこんでるっぽいぞ。
で、ログから見るに、なぜかこの.swpファイルっていうものを検知してるみたい。
そういえばこのファイル、なんだか見覚えが・・・
!!!
そうです、vimでファイルを開くと、このスワップファイルが作られるんです。
で、色々察した私は実際にvimを使ってswpファイルを作ってみることに。
・・・出ました、で、それを展開すると・・・?
バイナリですよ、という警告とともに、編集中のログと同じ文字列が入っている。
ビンゴですね。
流れとしては、
①ユーザさんがログをvimで開く
②ログのswpファイルが作られる
③Zabbixの検知条件にヒットし、トリガーが発報する
④ユーザが発報したトリガーの元を見ようと再度ログをvimで確認する
⑤またswpファイルが出来上がる
⑥繰り返し・・・・
あー、恐ろしい負のスパイラル。
気が付いてよかった・・・・。
ちなみに、ログの名前を正規表現でゆるーくとってしまっていました。
明示的に少なくとも.swpファイルは取らないように変更しないと。
以上