【Zabbix监控教程】对日志文件内容进行监控报警

在实际工作中，经常会根据日志文件出现的错误来判断服务是否正常，Zabbix提供了log监控可以实现这个功能。下面是具体配置步骤，以监控Elasticsearch日志中是否存在OOM为例：

1、Elasticsearch消耗内存是非常厉害的，而内存一旦耗光会导致OOM，OOM的结果就是服务被杀死。所以我们可以根据日志文件中是否出现了OOM的关键词来判断服务是否正常，比如下面就是发生了OOM，我们得到了日志中的关键词OutOfMemory

2、有了关键词就可以去添加item了，需要注意的是要监控日志的话，必须使用Active模式，然后key选择log或者logrt都可以。两者的区别就是logrt支持使用正则表达式，方便监控一些有日志轮询的服务。

3、上图中的key格式如下，解析：第一个字段是日志路径；第二个字段是日志中的关键词，skip是跳过历史内容，其他关键词的字段可以不填写

log[/data1/elasticsearch/logs/app_log_service.log,OutOfMemoryError,,,skip,,]

4、然后为Item创建触发器，记得勾选Allow manual close，这样告警触发后进行ack确认的时候可以直接关闭该问题

5、触发器创建好了后，只要日志中出现相关内容就会触发告警，可以自己在日志中追加内容测试