Zabbix5.0实现监控系统登陆失败告警

环境zabbix5.0，配置思路，通过添加监控项和触发器实现，监控项监控对应的日志文件，触发器过滤日志文件中的关键字，当出现failed时就发出告警。

监控项配置

类型选择zabbix客户端主动式，键值log[/var/log/secure] log代表日志文件监控，后面方括号中是对应的日志文件，注意：zabbix-agent应具备读取对应的日志文件的权限，否则会提示权限问题，信息类型选择日志，更新间隔根据实际情况填写

创建触发器

上图是创建触发器，关键在于表达式，上图中的表达式是解析之后的，zabbix5可以点击右边的添加按钮，来关联监控项，填写关键字以及周期，如下图所示

问题表现形式

{Zabbix server:log[/var/log/secure].iregexp(failed,600)}=1

选择之前创建好的监控项， 选择功能，这里选择iregexp意味忽略大小写匹配V的值，结果=1则意味匹配上，最后一个10是次数，后面可以选计数 也可以选时间， 计数代表最近在最近的10次匹配中取值，时间代表最后10秒钟的周期 全局的意思就是在最近10次中取最后一次的匹配到failed则触发告警。结合上面的监控项运行间隔是1分钟一起使用，也就是说监控项1分钟检查一次日志。

配置了上述配置之后仅仅能够实现告警了，那么怎么接触告警呢 除了人工确认告警，还可以配置让程序自动解决告警，假设我们配置100秒对应的日志没有被新写入数据就判定为接触告警，应该这样配置，以此在该触发器中找到事件成功迭代，选择恢复表达式，单机右边的添加

功能选nodata，nodata意味多久收不到任何数据则判定为正常，上述是配置为100秒

恢复表达式为 {Zabbix server:log[/var/log/secure].iregexp(failed,600)}=1

至此配置完毕，测试登陆系统失败的时候zabbix的web控制台会发出警告，超过100秒+监控项配置的10分钟的轮询间隔之后，警告会自动取消。可以通过调整个时间间隔来达到更精准的告警时效。