取得した情報がトリガー検知から漏れる事象について

連日お世話になります。

現在ログ監視に関するトリガー動作の確認をしています。

同時刻にトリガー検知対象のメッセージを計18件取得しているのですが、
実際にトリガーが検知したのは内2件のみという事象が発生しています。

トリガー検知漏れの条件や防ぐための方法をご存じの方がいましたらご教示お願いいたします。

===============================
バージョン:Zabbix4.0
OS:Linux

アイテムキー:
 log[/var/log/AAA.log,@message]
トリガー:
 {log[/var/log/AAA.log,@message].regexp()}=1

グローバルマクロ @messageについて:
 ErrorやWarningなどの合計4ワードを[結果が真]で指定しています

その他情報:
 MAXLinesPerSecondの値はデフォルト20のままです

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

トリガーの設定で、「障害イベント生成モード」として「複数」を
選択していますか?
「単一」を選択していると、トリガーの状態が障害だと複数障害の
条件に合致するものがあっても、最初のトリガーの状態を障害に変
更した分だけしかトリガーのイベントが発生しません。

あとregexp()の引数は指定していないのですか?

ユーザー otakon1012 の写真

TNKさん

いつもありがとうございます。

・障害イベント生成モード
障害イベント生成モードは「複数」に設定しています。

・regexp()について
regexp()の引数は指定していません。
理由としては、アイテム取得時にトリガーに引っ掛けたいメッセージを絞っているため
不要なのではないか、と判断したため指定していない状態です。

ユーザー yk_taiko の写真

正規表現の「合計4ワードを[結果が真]で指定」は 1ワード 1行でしょうか? それとも 4ワードを正規表現を使用して 1 行にしているのでしょうか。

※「結果が真」の場合は各行が and 条件となるため

ユーザー otakon1012 の写真

yk_taikoさん

コメントありがとうございます。

正規表現は4ワード1行( 例:(A|B|C|D) )で記載しています。

ユーザー yk_taiko の写真

あとは、該当の行がやたら長い(256k 以上)とか、
取り込まれなかった行を、正規表現設定画面のテストで 真となるかどうか見てみる といったところでしょうか.

※制限事項はログ監視のページの中程からつらつらと書いてあります
https://www.zabbix.com/documentation/4.0/manual/config/items/itemtypes/l...

ユーザー otakon1012 の写真

yk_taikoさん

恐らく大丈夫だとは思いますが、文字制限の件等確認してみます。
ありがとうございます。