複数アイテム、1トリガーのときのアクションについて

お世話になります。

zabbix_server:3.0.9
zabbix_agent:3.0.4

複数アイテムに対して1つのトリガーを設定したとき、メールを1通にまとめて送るように設定することは可能でしょうか。

Windowsのイベントログを監視して、Windowsのサーバに管理者権限でログインを試行されたことを検知したいと考えています。
※check_logfilesというnagiosのプラグインを使って監視をします。check_logfilesはUserParamaterで実行しています。

Windowsのイベントサブスクリプションという機能を使って、複数のサーバのログを1つのサーバにまとめるようにしています。
サーバA(ログの転送先のサーバ:zabbix_agentインストールあり)
サーバB(ログの転送元のサーバ:zabbix_agentインストールなし)
サーバC(ログの転送元のサーバ:zabbix_agentインストールなし)

サーバAが監視対象となります。
サーバB,サーバCのログは、サーバAのイベントログの”アプリケーション”に転送されます。
通知されるアラートを1つにまとめたいため、イベントログの"セキュリティ"と"アプリケーション"それぞれにアイテムを作成し、トリガーを1つ作成しました。

・UserParameterの設定内容
UserParameter=eventlog.application_login,"C:\work\zabbix_agent\check_logfiles.exe" -f "C:\work\zabbix_agent\windows_eventlog_application_login.conf" | "C:\work\zabbix_agent\nkf.exe" -w
UserParameter=eventlog.securiy_login,"C:\work\zabbix_agent\check_logfiles.exe" -f "C:\work\zabbix_agent\windows_eventlog_security_login.conf" | "C:\work\zabbix_agent\nkf.exe" -w

・トリガーの条件式
{サーバA:eventlog.application_login.regexp(.*CRITICAL.*)}=1 or {サーバA:eventlog.securiy_login.regexp(.*CRITICAL.*)}=1

試験的にサーバAで障害を発生させたところ、メールが2通送信されました。

メール1通にし、かつ、各アイテムのログを引用できるように設定する方法をご教示頂きたくお願い申し上げます。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー heya の写真

普通、トリガーに対するアクションが一つだけ設定してあるなら、そのトリガーの一つのイベントに対しては一回だけしかアクションは実行されないはずです。

・二通のメールの内容は全く同じですか?
・障害イベントを継続して生成(今は 複数の障害イベントの作成 かも)にチェックは入っていますか?
そのトリガーを条件としているアクションは一つだけですか?
・メールの送信先が複数あって、その一部がメーリングリストで、同じアドレスを含むということはありませんか?
・イベント画面ではどうなっていますか?
全く同時刻に二つのイベントが発生していますか?

check_logfiles をよく知らないのですが、https://labs.consol.de/nagios/check_logfiles/ これですか?
そうであるという前提で・・・
各アイテムのログを引用する方法は、上に書かれたトリガーの場合だと
  {ITEM.VALUE1} がアプリケーションのログ(eventlog.application_login の出力)
  {ITEM.VALUE2} がセキュリティのログ(eventlog.securiy_login の出力)
となるので、それを使ってメールの文面を作ればいいです。
#そのままだと CRITICAL - (x errors) とか余計な情報もつくとは思いますが。

ただ、条件分岐で {ITEM.VALUE1} と {ITEM.VALUE2} を使い分けるなどといったことはできないので、両方を書くことになるんでしょうが、本当にそれがやりたいことなんですかね?
単純にアプリケーション用のトリガーとセキュリティ用のトリガーを分けて、アクションもそれぞれ別に(メール文面は {ITEM.VALE} を使って全く同じにすればいい)作った方がいいような気がするんですが・・・。
#ちなみに、書かれてませんが、サーバAのログが“セキュリティ”に出るということですよね?

ユーザー k-saito の写真

heya 様
返信が遅くなり、大変失礼いたしました。

1トリガーで2通メールが送られるような書き方をしてしまったためきちんと説明できておりませんでした。
複数アイテムを1トリガーにした場合、アイテムの更新間隔で評価のタイミングも複数発生する(=イベントも複数発生する)のでその都度アクションが行われる動きになるのは当然でした。

お騒がせいたしました。