トリガー関数(logsource)の動作について

Windowsのイベントログ監視にて、下記設定を行っているのですが、トリガー関数(logsource)がうまく動作しません。

----設定内容----
アイテム
 タイプ:Zabbixエージェント(アクティブ)
 キー:eventlog[system]
 データ型:ログ

トリガー
 条件式:(({hostname:eventlog[system].logeventid("^10$")})=0&({hostname:eventlog[system].logsource("Cmd")})=0)
 障害イベントを継続して生成:チェック
--------

コマンドプロンプトから下記①~③を実行してイベントログを生成したところ、
 ① eventcreate /ID 111 /L system /SO Cmd3 /T Error /D "test message"
 ② eventcreate /ID 111 /L system /SO Cmd /T Error /D "test message"
 ③ eventcreate /ID 10 /L system /SO Cmd3 /T Error /D "test message"
①と③は、想定通りにトリガーステータスが「障害」になるのですが、
②は、トリガーステータスが「正常」になってしまいます。

トリガー関数logsourceが正常に動作していないと思われるのですが、解決方法はありますでしょうか。
logeventidとlogsourceの順番を入れ替えても同じ結果でした。

Zabbixサーバ バージョン:2.0.8、OS:RHEL5
Zabbixエージェント バージョン:2.0.9、OS:Windows7

よろしくお願いします。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

記載頂いた内容に誤りはありませんか?

(1)と(3)が「障害」で、(2)が「正常」とのことですが、記載頂い
たトリガーの式であれば、(1)が「障害」、(2)と(3)が正常になる
と思います。

もう少し書かせていただくと、

 イベントIDが「10」ではなく
  かつ
 ログソースが「Cmd」ではない

というトリガーの式を設定されているのですから、

 (1)は、真 かつ 真 なので障害
 (2)は、真 かつ 偽 なので正常
 (3)は、偽 かつ 真 なので正常

となり、(1)のみが障害とみなされるはずです。

実際に設定された内容を再度ご確認いただき、どのような条件
の組み合わせで障害と判定されたいのかをお教えください。

ユーザー toku1975 の写真

TNK様

ご回答いただきありがとうございます。
すみません。当方の勘違いのようでした。
再度実施したところ、ご指摘の通り(1)が障害、(2)と(3)が正常となりました。

ありがとうございました。