ログ監視について

お世話になります。

当方、Zabbix2.2を利用しています。

/var/log/messagesのログ監視で
1回目error → 10分後 → 2回目error
この2回目にerrorになった際に障害として検知させたいと考えています。

以下のアクションとトリガーを設定してみましたが意図した動作をしませんでした。

■アクション
名前 :ログ監視(/var/log/messages)
タイプ :Zabbixエージェント(アクティブ)
キー :log[/var/log/messages,@messages]
データ型 :ログ
更新間隔(秒) :30
ヒストリ保存期間:90

■トリガ
({サーバ名:log[/var/log/messages,@messages].iregexp(@messages)})#0&({サーバ名:log[/var/log/messages,@messages].nodata(6000)})=0

変数の@messagesは正規表現を作成しています。
名前 :messages
条件式 :error|warn|fail|fatal|ERROR|WARN|FAIL|FATAL
条件式の形式 :結果が真
大文字小文字を区別 :いいえ

情報はこちらのサイトを参考にしています。
http://qiita.com/k7tak29/items/e6c685efdc97f757cd24

有識者の方お力添え頂ければ幸いです。
宜しくお願い致します。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

トリガーの設定内で、

 障害イベントを継続して生成

に関する記述がありませんが、チェックされていますか?

ユーザー yusuke963 の写真

ご連絡ありがとうございます。

> 障害イベントを継続して生成
はい。設定していますが1度目に障害となってしまいます。

ユーザー yusuke963 の写真

ご連絡ありがとうございます。

> 障害イベントを継続して生成
はい。設定していますが1度目に障害となってしまいます。

ユーザー kaeru の写真

>>yusuke963様
10分間でerror(というより正規表現@messagesで設定された文字列)が2回出力されたら障害にするということで良いでしょうか?
前にTNK様が回答してくれているやりとりがありました。
http://www.zabbix.jp/node/3238

トリガー式としては以下ではないかと。
({サーバ名:log[/var/log/messages,@messages].count(600)}>1

errorだけで絞るのであれば、
({サーバ名:log[/var/log/messages,@messages].count(600,”error”)}>1

10分間に2回出力が無ければトリガーは復旧しますので以下はいらないかと思います。
({サーバ名:log[/var/log/messages,@messages].nodata(6000)})=0