windowsイベントログ監視の障害と復旧扱いについて

zabbix3.0を使用しています。

windowsイベントログ監視でエラーかつ指定ソースのみを監視しています。
”エラー”の場合は、障害扱いとなり正しくメールが送信されるのですが、
その次の”警告”がくるとリカバリーメールとしてメールが送信されてしまいます。
”エラー”と”警告”は同じソース名です。

以下、設定しているアイテムとトリガです。
アイテム:「 eventlog[Application,,"Warning|Error|Critical",{$LOGSOURCE},,,skip] 」
トリガ  :「 {ホスト名:eventlog[Application,,"Warning|Error|Critical",{$LOGSOURCE},,,skip].logseverity()}=4 」

※{$LOGSOURCE}・・・指定しているソース名の関数です。

宜しくお願い致します。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

トリガーの条件式で、logseverity()=4としているのですから、そ
の条件に合致しなくなれば、トリガーの状態は正常に戻ります。
トリガーの状態が障害から正常に戻るのですから、アクションでリ
カバリメッセージを送るよう設定していれば、メッセージは送られ
ます。

それをメールとして送りたくないのであれば、ログ監視用のアクシ
ョンとして、リカバリメッセージを送らない設定で別途作成して、
ログ関連のトリガーである場合は、そのリカバリメッセージを送ら
ないアクションが実行されるように設定してみてはいかがでしょう
か?

例えば、トリガーの名前のどこかにログ関連のトリガーであること
がわかるような文字列を設定しておいて、アクションの実行条件と
して、その文字列が含まれているかどうかを判別する条件式を追加
する方法が考えられます。

ユーザー いー の写真

いつもありがとうございます。
理解できました。

言われてみると当り前ですね。
この場合は、イベントログの”情報”もリカバリ対象となってしまうということですよね?

宜しくお願い致します。

ユーザー いー の写真

すいません。
自己解決しました。
アイテムでinfoを取得していないので、対象外ですね。

ユーザー いー の写真

すいません。
もう一つ疑問がでてきました。

トリガで下記4つ設定してたとします。
① {ホスト名:eventlog[Application,,"Warning|Error|Critical",,,,skip].logseverity()}=4 ・・・ 致命的な障害
② {ホスト名:eventlog[Application,,"Warning|Error|Critical",,,,skip].logseverity()}=2 ・・・ 重度の障害
③ {ホスト名:eventlog[System,,"Warning|Error|Critical",,,,skip].logseverity()}=4 ・・・ 致命的な障害
④ {ホスト名:eventlog[System,,"Warning|Error|Critical",,,,skip].logseverity()}=2 ・・・ 重度の障害

最初に①のトリガで引っかかり、次に①以外が引っかかった場合は、
①に対してのリカバリメッセージは送られてしまうのでしょうか。
それともメールアクションの「=障害」に引っかかるので、リカバリ対象とはならないのでしょうか。

宜しくお願い致します。

ユーザー TNK の写真

(1)の条件に合致して(1)のトリガーの状態が障害であったときに、
(2)の条件に合致するようなイベントログが出力されたのであれば、
(1)の条件を満たさなくなるので、

 ・(1)のトリガーの状態が正常となって、(1)のリカバリ
 ・(2)のトリガーの状態が障害となって、(2)の障害通知

が行われると思います。