トリガー関数(logsource)の動作について
Windowsのイベントログ監視にて、下記設定を行っているのですが、トリガー関数(logsource)がうまく動作しません。
----設定内容----
アイテム
タイプ:Zabbixエージェント(アクティブ)
キー:eventlog[system]
データ型:ログ
トリガー
条件式:(({hostname:eventlog[system].logeventid("^10$")})=0&({hostname:eventlog[system].logsource("Cmd")})=0)
障害イベントを継続して生成:チェック
--------
コマンドプロンプトから下記①~③を実行してイベントログを生成したところ、
① eventcreate /ID 111 /L system /SO Cmd3 /T Error /D "test message"
② eventcreate /ID 111 /L system /SO Cmd /T Error /D "test message"
③ eventcreate /ID 10 /L system /SO Cmd3 /T Error /D "test message"
①と③は、想定通りにトリガーステータスが「障害」になるのですが、
②は、トリガーステータスが「正常」になってしまいます。
トリガー関数logsourceが正常に動作していないと思われるのですが、解決方法はありますでしょうか。
logeventidとlogsourceの順番を入れ替えても同じ結果でした。
Zabbixサーバ バージョン:2.0.8、OS:RHEL5
Zabbixエージェント バージョン:2.0.9、OS:Windows7
よろしくお願いします。
TNK - 投稿数: 4742
記載頂いた内容に誤りはありませんか?
(1)と(3)が「障害」で、(2)が「正常」とのことですが、記載頂い
たトリガーの式であれば、(1)が「障害」、(2)と(3)が正常になる
と思います。
もう少し書かせていただくと、
イベントIDが「10」ではなく
かつ
ログソースが「Cmd」ではない
というトリガーの式を設定されているのですから、
(1)は、真 かつ 真 なので障害
(2)は、真 かつ 偽 なので正常
(3)は、偽 かつ 真 なので正常
となり、(1)のみが障害とみなされるはずです。
実際に設定された内容を再度ご確認いただき、どのような条件
の組み合わせで障害と判定されたいのかをお教えください。
toku1975 - 投稿数: 22
TNK様
ご回答いただきありがとうございます。
すみません。当方の勘違いのようでした。
再度実施したところ、ご指摘の通り(1)が障害、(2)と(3)が正常となりました。
ありがとうございました。