Windowsイベント監視で特定のIDを抑止方法

いつもお世話になっております。

テンプレートを使用して、各サーバのApplicationイベントログ監視をしており
エラーレベルErrorのイベントを検出時にトリガー発報するよう設定しています。

その上で以下の内容を実現したく、ご教授お願いいたします。

【実現したい内容】
・特定のイベントIDではアラートをあげないよう抑止する
・抑止するイベントIDはホストによって異なるため、ホストマクロにて設定する
・ステータスを常に「障害」状態で運用する
(抑止イベントIDが検出された場合、「正常」に戻らない設計にしたい)
→障害復旧は、「障害対応コメント」を入力することにより判断しているため

現在、以下のようにアイテム/トリガー設定していますが
抑止イベントID検出時に、ステータスが「正常」に戻ってしまいます。
アイテム:eventlog[Application,,"Critical|Error"]
トリガー:{Template_Name:eventlog[Application,,"Critical|Error"].logseverity(4)}=4
and
{Template_Name:eventlog[Application,,"Critical|Error"].logeventid({$APP_ERR_ID})}<>1

#$APP_ERR_IDに各ホストマクロにて除外するイベントIDを設定

--ZabbixServer version--
OS:RHEL7.6
ZabbixServer: 3.0.13

--ZabbixAgent version--
OS:WindowsServer2016
ZabbixAgent:3.0.13

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー karna の写真

アイテムのキーでマクロが使えるので、取得時に不要なイベントIDを排除できませんか?

https://www.zabbix.com/documentation/3.0/manual/config/items/itemtypes/z...

ユーザー hagemen の写真

ご回答ありがとうございます。

以下のURLを参考にアイテムの除外を検討したのですが
正規表現の否定先読みが今回のバージョンでは使用できず、実現できませんでした。

参考URL:http://unam.hatenadiary.jp/entry/2018/01/09/212654

他の方法がありましたらご教授頂けますでしょうか。

ユーザー Yasumi の写真

・アイテム
eventlog[Application,,"Critical|Error",,{$RECOVER_ID},,skip]

・ホスト⇒マクロ
マクロ:{$RECOVER_ID}
値:@RECOVER_ID

・管理⇒一般設定⇒正規表現
@RECOVER_ID
条件式:抑止イベントID
条件式の形式:[文字列が含まれない]

上記のように設定してみてください。

ユーザー hagemen の写真

>>Yasumiさん

ご回答ありがとうございます。

以下のように設定しましたが、イベントが抑止されませんでした。
アイテム:eventlog[Application,,"Critical|Error",,{$RECOVER_ID},,skip]
トリガー:{Template_Name:eventlog[Application,,"Critical|Error",,{$RECOVER_ID},,skip].logseverity(4)}=4

ホストマクロ:{$RECOVER_ID}
値:@RECOVER_ID

正規表現:RECOVER_ID
条件式:11,12,13 
条件式の形式:[文字列が含まれない]

設定の不備がありましたらご教授お願いします。

ユーザー Yasumi の写真

条件式が複数の場合は、3つの条件式に分ける必要があります。

分かれていますでしょうか?

正規表現:RECOVER_ID
条件式:11
条件式の形式:[文字列が含まれない]

条件式:12
条件式の形式:[文字列が含まれない]

条件式:13
条件式の形式:[文字列が含まれない]

ユーザー hagemen の写真

>>Yasumiさん

ご回答ありがとうございます。
分けて記載したところ、条件式に記載したイベントIDを抑止できました。

ですが、抑止対象でないイベントIDも抑止されてしまったため、回避法などあればご教授お願いします。

下記設定の場合、「11」だけでなく「110」や「1100」も除外条件に合致してしまうため、抑止されてしまう。
--設定--
正規表現:RECOVER_ID
条件式:11
条件式の形式:[文字列が含まれない]

ユーザー Yasumi の写真

下記を試してみてください。

正規表現:RECOVER_ID
条件式:^11$
条件式の形式:[結果が偽]

条件式:^12$
条件式の形式:[結果が偽]

条件式:^13$
条件式の形式:[結果が偽]

ユーザー hagemen の写真

>> Yasumiさん

上記設定をしたところ、実現したい動作となりました。
ご回答ありがとうございました!