Windowsイベントログの監視で障害条件式について質問させてください。
障害条件を以下として「0001|0002」のイベントIDを除外した場合、
復旧条件式をどのように書けばよいでしょうか？

▼障害条件式
find(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],15m,"regexp",".*")=1
and not
logeventid(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],,"0001|0002")=1"

以下の復旧条件のみだと監視除外している"0001|0002"のイベントIDが定期的に出ている状況では復旧できなくなります。

▼復旧条件式
nodata(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],30m)=1

以上、よろしくお願いいたします。