はじめまして

掲題の件で、お伺いしたいのですが下記のような条件式でトリガーを設定しているのですが、
イベントが2つ生成されてしまいます。（実際にはマッチするログは1行）

({Template_Linux_LOG:log[/var/log/messages,@alert].regexp(alert)}#0) & ({Template_Linux_LOG:log[/var/log/messages,@alert].nodata(30)}=0)

nodataの式を外すと1つになるので、式の書き方が悪いのかと思うのですが、
色々試してみたのですが、2つ生成されてしまいます。

1イベントだけにし、30秒何もなかったら正常に戻すためにはどのような式にしたらよいのでしょうか？

お手数ですが、ご教授頂けるとありがたいです。