Centos7
zabbix_server (Zabbix) 3.0.7

ご質問
messages.logの監視を行っております。
今までは、トラブルなく順調に稼働していたのですが、今回次のような事象が発生いたしました。
ご教授頂きたくよろしくお願いいたします。

①下記のメールが2017.05.10 12:04:24に発報されまして、こちらは正常な動作だと思います。
　今までも同様なメッセージが発報されております。
====================================
Zabbix監視アラート
====================================
＜障害検知状況＞
　　・障害発生日時：2017.05.10 12:04:24
　　・対象ホスト：ab-c-d-efghij1
　　・監視項目：[LOG] Syslog Warning Check
　　・監視キー: log[/var/log/messages,@xx_zzz_SYSLOG_WAR_REGEXP,,,skip]
　　・ステータス：PROBLEM
　　・障害情報：May 10 12:04:23 ab-c-d-efghij1 server: 重大: The web application [/mm/come/ws] appears to have started a thread named [logback-1] but has failed to stop it. This is very likely to create a memory leak.
　　・重要度：Warning

②本日、下記の障害復旧メールが通知されました、今まではmessages.logで発生したものは、復旧検知など起こり得るわけが無いと思っていたのですがこのような発報がありました。
====================================
Zabbix監視アラート
====================================
＜復旧検知状況＞
　　・障害発生日時：2017.05.10 12:04:24
　　・障害復旧日時：2017.05.12 12:08:24
　　・対象ホスト：ab-c-d-efghij1
　　・監視項目：[LOG] Syslog Warning Check
　　・ステータス：PROBLEM
　　・復旧情報：May 12 12:08:24 ab-c-d-efghij1 server: 重大: The web application [/mm/come/ws] appears to have started a thread named [logback-1] but has failed to stop it. This is very likely to create a memory leak.
　　・重要度：Warning

※補足説明
補足①
@xx_zzz_SYSLOG_WAR_REGEXP=
([eE][rR][rR])|([cC][rR][iI][tT])|([wW][aA][rR])|([fF][aA][iI][lL])|([rR][eE][mM][oO][vV][eE][dD])|link status definitely down
結果が真

補足②
障害イベントを継続して生成　☑あり

補足③
・本日対象サーバをメンテナンスモードに設定している最中に発生しております。
・データ収集あり

Q１.なぜmessages.log監視なのに復旧メールが発報されたのでしょうか
Q２.メンテナンスモード時間帯なのに何故？
　　同時間内で発生したアラートは発報されていません。