除外設定を実施したイベントIDが監視データのイベントに表示されない

除外設定をしたイベントIDが連続で出力された場合の、監視データ>イベントの表示についての質問です。

以下で除外設定をしています。
http://www.zabbix.jp/node/4697

[疑問]
・除外設定を行ったイベントIDのA,Bがあるとして、連続でそれらが通知されたとき監視データのイベントの表示上では1つしか通知しないのか。
・監視データのイベントは「障害」と「障害の後の正常」「障害のあとの障害」しか通知しないのか(「正常のあとの正常」は表示されないのか)。

[やりたいこと]
・A.Bと2つのイベントIDをそれぞれ通知されているように表示させることはできないか。
・将来的には除外するイベントIDは増加するため、それに対応できるようなトリガーやアクションを設定したい。

仕様なのか、それとも2つ目の正常通知ができる方法があるのかご教示お願いいたします。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー Yasumi の写真

> 除外設定を行ったイベントIDのA,Bがあるとして、
> 連続でそれらが通知されたとき監視データのイベントの表示上では1つしか通知しないのか。
除外設定を行っているなら、そもそもトリガーが動かず、イベントに表示されないのでは?
もしかしてですが、「連続でそれらが通知」の通知とは「正常」を言っていますでしょうか?

通常「正常」状態のトリガーは、トリガー起動条件に合致した場合に「障害」状態になります。
ログ監視の場合、トリガー起動条件に合致しない情報がアイテムが格納されると
「障害」状態のトリガーは「正常」状態に戻ります。
なので、「正常」状態のトリガーは「正常」を連続通知することはありません。

また、[やりたいこと]は「除外対象のイベントIDをトリガーとしては通知させるが、
アクションとしては通知させない」と理解しましたが、認識は合っていますでしょうか?

上記の場合、やりたいことを実現するには手っ取り早くトリガーを分けるのがいいと思います。

===========================================
トリガー名:Systemログエラー
トリガー設定:{hostname:eventlog[System,,Error,eventlogsource,,,skip].logeventid(@sss)}=0
⇒アクションで通知する

トリガー名:Systemログエラー(※除外対象)
トリガー設定:{hostname:eventlog[System,,Error,eventlogsource,,,skip].logeventid(@sss)}=1
⇒アクションで通知しない
===========================================

ユーザー zazabi の写真

Yasumi様
コメントありがとうございます。

>> 除外設定を行ったイベントIDのA,Bがあるとして、
>> 連続でそれらが通知されたとき監視データのイベントの表示上では1つしか通知しないのか。
>除外設定を行っているなら、そもそもトリガーが動かず、イベントに表示されないのでは?
除外設定が、「除外対象イベントが送られたときは正常通知、それ以外のイベントIDは障害通知」のような設定にしているので、
エラーイベントIDが発生した時点でトリガーは発動するような設定です。

>もしかしてですが、「連続でそれらが通知」の通知とは「正常」を言っていますでしょうか?
そうです。除外したイベントID=トリガーで正常と判断されるエラー通知が連続で監視ホスト側から送られてきた場合の事を言っています。

>通常「正常」状態のトリガーは、トリガー起動条件に合致した場合に「障害」状態になります。
>ログ監視の場合、トリガー起動条件に合致しない情報がアイテムが格納されると
>「障害」状態のトリガーは「正常」状態に戻ります。
>なので、「正常」状態のトリガーは「正常」を連続通知することはありません。
「障害イベントを継続して生成」する設定はできるが、
「トリガーのステータスが正常になるようなイベントID」は異なるイベントIDでも
連続して通知することはない、ということでしょうか?

>また、[やりたいこと]は「除外対象のイベントIDをトリガーとしては通知させるが、
>アクションとしては通知させない」と理解しましたが、認識は合っていますでしょうか?
合っています。さら除外設定のイベントIDはステータス正常で監視データに表示させたいです。

>上記の場合、やりたいことを実現するには手っ取り早くトリガーを分けるのがいいと思います。
>===========================================
>トリガー名:Systemログエラー
>トリガー設定:{hostname:eventlog>[System,,Error,eventlogsource,,,skip].logeventid(@sss)}=0
>⇒アクションで通知する

>トリガー名:Systemログエラー(※除外対象)
>トリガー設定:{hostname:eventlog>[System,,Error,eventlogsource,,,skip].logeventid(@sss)}=1
>⇒アクションで通知しない
===========================================

①障害イベントID(単体)
Systemログエラー:通知有、アクション有り
Systemログエラー(※除外対象):通知有、アクション無し

②障害イベントID(連続2回)
Systemログエラー:2回障害で通知有、アクション有り
Systemログエラー(※除外対象):通知無し

③除外イベントID(単体)
Systemログエラー:正常で通知、アクション有り
Systemログエラー(※除外対象):障害で通知、アクション無し→正常で通知させたい

③除外イベントID(連続2回)
Systemログエラー:無し
Systemログエラー(※除外対象):2回障害で通知、アクション無し→正常で通知させたい

上記のコメントで「除外設定をした違うイベントIDが連続で発生した場合、正常通知は回数分監視データに表示させることはできない」という判断でよろしいでしょうか?

ユーザー Yasumi の写真

はい。連続して正常を通知することはないです。

そもそもZabbixは障害を通知する仕組みであり、
正常を通知することは本来的な使い方ではありません。

そのため、提案に出させていただいた下記のトリガーは、
「除外イベントID(正常)」を「障害」として通知させることで
正常になったことに気づけるという苦肉の策です。
===========================================
トリガー名:Systemログエラー(※除外対象)
トリガー設定:{hostname:eventlog[System,,Error,eventlogsource,,,skip].logeventid(@sss)}=1
⇒アクションで通知しない
===========================================

おそらく、除外イベントIDとは、何らかのシステムの正常状態や復旧を示す
イベントIDを示すものなのだと予想します。なので正常で通知させたいのだと思いますが、
ログ監視の仕組み上、除外イベントIDが複数ある場合は、それを連続で正常で通知させることはできません。

障害イベントID⇒復旧イベントIDが一対の関係であるならば、
下記のようなかたちで、Zabbix2.2系でもログ監視で障害・復旧の正確な紐づけが可能です。
===========================================
{hostname:eventlog[System,,Error,eventlogsource,,,skip].logeventid(@復旧イベントID)}=0 or
({hostname:eventlog[System,,Error,eventlogsource,,,skip].logeventid(@復旧イベントID)}=1 and {TRIGGER.VALUE}=1)

●参考
http://www.zabbix.jp/node/863
===========================================