应用zabbix的实时导出(real-time export)功能
说明
zabbix作为监控软件,有时也会需要获取历史数据作进一步的分析,通常可以采用3种办法:
- 通过zabbix API定期获取(通过web)
- 通过后端数据库定期读取(通过db)
- 应用实时导出功能配合filebeat或其他工具获取(通过server)
对比以上三种方法:
- 实时性:毫无疑问,通过实时导出功能将数据发送出去是实时性最好的,周期性调用API或者读取数据库都存在一定的延时。
- 暴露面:通过API暴露数据是最合理的,因为web服务本身就是对外的;数据库一般情况下不应该对外暴露,甚至不需要公网地址;而server则需要分情况讨论,如果涉及外网proxy或者agent,则也需要有公网地址,而如果仅仅作内网的监控,则不需要具备公网地址。
- 安全性:通过实时导出主动发送数据是安全性最好的,因为不存在任何的入访机会;而使用API或者读取数据都必须要开放入访和提供密码或者token,需要通过做白名单、管控账号权限来保证安全性。
- 灵活性:实时导出会把任何群组、任何主机的的历史、趋势和事件全部导出,无法做任何筛选处理,API可以通过账号权限实现管控,数据库可以设置账号的具体权限
本文将介绍第三种方法,将历史数据导出为文件,以备其他工具处理。
配置
修改配置文件
如果zabbix部署方式为编译或者rpm,则修改zabbix_server.conf配置文件,注意3个字段的配置:
- ExportDir: 导出文件的目录,注意此目录一定要有写权限,会以history syncer进程的数量创建文件
- ExportFileSize: 限制导出文件的大小,默认是1G,如果文件超出,则以 .old 结尾重命名该文件,并创建一个和原名称相同的新文件
- ExportType: 导出数据的类型,包括events、history、trends,如果不设置,则默认为全部
示例如下:
ExportDir:/zabbix/history/
ExportFileSize:500M
ExportType:history,trends
配置完成后重启zabbix_server生效。
修改docker容器环境变量
如果zabbix部署方式为容器,则需要配置环境变量,相关的2个环境变量为:ZBX_EXPORTFILESIZE
、ZBX_EXPORTTYPE
,目录变量无法修改,因为固定位于容器内的/var/lib/zabbix/export/
目录下
为对历史数据文件进行读取,需要做一个卷映射,将容器内的文件映射到宿主机上
示例如下:
……
-e ZBX_EXPORTFILESIZE="500M" -e ZBX_EXPORTTYPE="history" \
……
-v /zabbix/history:/var/lib/zabbix/export \
以此配置创建容器
数据文件处理
完成配置并启动后,会在设定的目录下(本例中为/zabbix/history/)生成名为history-history-syncer-*.ndjson(本例中只保存了history数据)的一批文件,数量对应history syncer进程,例如有10个进程,则会生成名为syncer-[1-10]的ndjson文件。
文件格式示例为:
{"host":{"host":"Host B","name":"Host B visible"},"groups":["Group X","Group Y","Group Z"],"item_tags":[{"tag":"Application","value":"system"}],"itemid":3,"name":"Agent availability","clock":1519304285,"ns":123456789,"value":1,"type":3}
可以通过filebeat之类工具进行数据的实时处理。
定时删除文件
如果监控项很多,数据的增长速度可能会比较快,本实验环境中监控项有17万,所有历史数据文件大小总和以7-10M/分钟的速度增长。如果硬盘空间没有预留足够,可能不出几天就会被写满。首先可以增加数据盘,以保留更久的数据,然而不管硬盘多大,时间久了总归还是会写满的,可以设置一个crontab的脚本,每隔一段时间去删除.old文件。
示例如下:
0 * * * * rm -f /zabbix/history/history-history-syncer-*.ndjson.old
每小时进行一次检查,删除/zabbix/history目录下的history-history-syncer-*.ndjson.old文件。