Action Conditionに合致していないイベントにアクションが実行されてしまう

初めての投稿になります。どうぞよろしくお願いします。

現在、Amazon Linux(Verは失念しました)上でZabbix 1.8.14を使用しております。
Trigger合致時に以下のような形で、メールを送付するActionを設定しました。
条件は全てand条件です。

(ログファイル)
Maintenance status not in "maintenance"
Application = "Log files"
Trigger value = "PROBLEM"

(ログファイル以外)
Maintenance status not in "maintenance"
Application not like "Log files"

ログファイルはTriggerでフィルタリングを行っているため、Trigger ValueがPROBLEMのもののみ
メールを送付し、その他はプロセス復旧等を確認するため、全てをメール送付する設定としました。

しかし、ログファイルのうち、Trigger valueが"OK"のものも、
一部Actionが実行されるものがあります。

ApplicationはItemに紐付いており、Triggerと紐付くものではないため
Zabbixがうまく判断できない事がある可能性があるのではないか、と
考えているのですが、何かご存知の方がいらっしゃれば教えて頂けますでしょうか。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー tmoto の写真

補足情報です。

Trigger ValueがOKにも関わらず、アクション(メール送付)が実行されてしまう件につき、
注意深く観察を続けていたところ、以下の事実がわかりました。

ログファイル監視にTriggerで正規表現を使用してフィルタリングを行っておりますが、
同じ内容のログでも、メールが送付されるものとされないものがあります。

このうち、意図と異なりメールが送付されてしまうイベントは、
[Monitoring]-[Triggers]の画面に、Statusの部分がOK(緑点滅)の状態で
30分間表示されます。

同内容でもメールが送付されないイベントは、上記画面に最初から表示されません。

後者が正しい動作であると認識しておりますが、同じログの内容でも
このような差異が発生してしまうのが原因ではないかと感じています。

このような事象につき、何かわかる方がいらっしゃいましたら、
お力を拝借できればと思います。
どうぞよろしくお願いいたします。

ユーザー TNK の写真

具体的にどのようなトリガーを設定されているのかをお教えください。

ユーザー tmoto の写真

現在事象が確認できている対象のトリガーは、2つあります。
発生しているのはWindowsサーバのイベントログ監視です。

一つ目は以下のトリガーになります(少し長いです)。

({Template_Windows:eventlog[system,,"Error"].count(1)}>0)&({Template_Windows:eventlog[system,,"Error"].iregexp(@boot-cdrom)}=0)&({Template_Windows:eventlog[system,,"Error"].iregexp("@ts-printer")}=0)&({Template_Windows:eventlog[system,,"Error"].iregexp("@WinTime-missing")}=0)&({Template_Windows:eventlog[system,,"Error"].iregexp(@ts-cutoff)}=0)&({Template_Windows:eventlog[system,,"Error"].iregexp(@rdp_cutoff)}=0)

このうち、2つの正規表現(ts-printer、ts-cutoff)に合致しているエラーログについて
時々上記のような現象が起こります。

【ts-printer】
1 が認識されません。 [Character string included]
2 に必要なドライバー [Character string included]
3 プリンター  [Character string included]

【ts-cutoff】
ターミナル サーバーのセキュリティ層で、プロトコル ストリームにエラーが検出され、
クライアントが切断されました [Character string included]

STATUS=OKでアクションが実行されたイベントログは、以下のようになっております。

「ターミナル サーバーのセキュリティ層で、プロトコル ストリームにエラーが検出され、
クライアントが切断されました。 クライアント IP: ***.***.***.***。」
「プリンター *** に必要なドライバー *** が認識されません。
管理者に問い合わせてドライバーをインストールしてから、もう一度ログインしてください。」

もう一つのトリガーは以下の通りです。

({Template_Windows:eventlog[application,,"Warning"].count(1)}>0)&({Template_Windows:eventlog[application,,"Warning"].iregexp(@Registry)}=0)

【Registry】
レジストリ ファイルは他のアプリケーションまたはサービスで使用されています。
ファイルはすぐにアンロードされます。レジストリ ファイルを保持しているアプリケーション
またはサービスはこれ以降正しく機能しない可能性があります [Character string included]

該当するエラーメッセージは以下の通りです。

「レジストリ ファイルは他のアプリケーションまたはサービスで使用されています。
ファイルはすぐにアンロードされます。レジストリ ファイルを保持しているアプリケーション
またはサービスはこれ以降正しく機能しない可能性があります」

他に何か必要な情報がありましたら、お知らせ頂けますでしょうか。
よろしくお願いいたします。

ユーザー tmoto の写真

その後全く調査に手をつける事ができていなかったのですが、
先日、今までと異なる事象が発生しました。

11/26に投稿したトリガーのうち、【ts-cutoff】の正規表現に合致する
一つのイベントログに対して、StatusがOKとPROBLEM、それぞれで
別々にアクションが実行され、メールが送付されてきました。

上記とは別の問題のような気もするのですが、とりあえず報告させて頂きます。