Vor einigen Wochen habe ich ein Monitoring auf Basis von checkmk 2.0 Raw (CRE) auf einer alten Workstation mit Debian aufgesetzt und bin echt begeistert, wie viel Features schon direkt im Standard abgedeckt werden, indem man nur den Agent auf den Servern installiert und die Hosts in checkmk hinzufügt – ohne erst in config-Dateien basteln zu müssen, was überhaupt im Detail überwacht werden soll.
Aber ein Punkt der mir ein paar Fragezeichen beschert hat: wie geht man korrekt mit Windows Ereignisprotokollen in checkmk um?! In den ganzen Tutorials ist nach Installation des checkmk Agents und hinzufügen des Hosts Schluss. Wie man mit den Windows Logs umgehen soll, bleibt offen.
Ich hatte erst gedacht, man kann bei den Logs auch einfach auf den Service klicken und die einzelne Ereignis Meldung damit aknowledgen – aber damit acknowledged man das Gesamte ausgewählte Log – neue/andere (kritische) Logeinträge werden dann nicht mehr angezeigt/benachrichtigt!
Man muss auf die 3 Striche und dann auf Open Log klicken um die Ereignisse anzuzeigen.
Dort sieht man auch weitere Log-Einträge der Stufe CRIT und WARN – checkmk zeigt im Dashboard immer nur die neueste Meldung der höchsten Warnstufe an („Last worst“).
Wenn man sich sicher ist, dass man die Ursache der Meldung behoben hat oder ignorieren kann :), klickt man auf Clear log um diese Log-Einträge aus checkmk zu löschen. Es kann einige Sekunden dauern, bis die Nachricht aus dem Dashboard verschwindet
Neue Ereignisse, die nach dem leeren des Logs auftreten, werden wieder entsprechend im Dashboard als Kritisch/Warnung angezeigt.
Wenn man dies ein paar Tage gemacht und auch ein paar kleinigkeiten am Windows Server umgestellt oder behoben hat, damit die entsprechenden Meldungen nicht mehr jeden Tag nerven, wird man feststellen, dass es ein paar Meldungen gibt, die man getrost ignorieren kann – wie zum Beispiel DCOM oder perflib Meldungen.
Aber wie ignoriert man einzelne Logeinträge in checkmk?!
Dazu gibt man bei Setup in der Suchleiste logfile ein und klickt dann auf Logfile patterns.
Dort klickt man auf Create rule in folder und schon kann man eine Ignore Regel erstellen:
Bei Description eine Kurzbeschreibung eintragen, dann auf Add pattern klicken, State auf IGNORE setzen und bei Pattern (Regex) einen Teil der Meldung reinkopieren, die ihr ignorieren wollt. In meinem Fall: 10016 DCOM Anwendungsspezifisch Lokal Aktivierung
Da dies ein Regex Feld ist: aufpassen mit Sonderzeichen aus der Meldung, teilweise greift die Regel dann nicht. Am besten gleich Regex konform eintragen (ToDo für später :)). Bei Explicit hosts könnte man die Regel noch auf einzelne Hosts eingrenzen (Haken setzen und auswählen).
Dann die Regel mit Save abspeichern.
Oben rechts im Fenster auf die Meldung klicken.
Mit Activate on selected sites wird die Änderung (die neue Regel) dann in checkmk übernommen und bei neuen Meldungen angewendet. Bereits in checkmk vorhandene Meldungen werden dadurch nicht verworfen.