フォーラム日本Zabbixユーザー会フォーラム

Windowsイベントログの監視で障害条件式について質問させてください。

2025/11/21 - 14:51 (金) mkabu211 - 投稿数: 3

Windowsイベントログの監視で障害条件式について質問させてください。
障害条件を以下として「0001|0002」のイベントIDを除外した場合、
復旧条件式をどのように書けばよいでしょうか?

▼障害条件式
find(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],15m,"regexp",".*")=1
and not
logeventid(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],,"0001|0002")=1"

以下の復旧条件のみだと監視除外している"0001|0002"のイベントIDが定期的に出ている状況では復旧できなくなります。

▼復旧条件式
nodata(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],30m)=1

以上、よろしくお願いいたします。

‹ Linuxテンプレート:FS監視で「develop」を含むフォルダが監視出来ない 00分丁度にデータの取り込みが止まる ›

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー mkabu211 の写真
2025/11/26 - 08:40 (水)
mkabu211 - 投稿数: 3

なかなかレスつかないので自己レスです。
これであってるんでしょうか?
▼復旧条件式
nodata(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],30m)=1
or not
logeventid(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],,"0001|0002")=1

30分の間【「Application,,"Error”」がこない】 or 【「Application,,"Error"」が来ても"0001|0002"】
という考えです。

ユーザー mkabu211 の写真
2025/11/27 - 14:48 (木)
mkabu211 - 投稿数: 3

or not
logeventid(/UserTmp-Agent-WinEventLog_TEST30/eventlog[Application,,"Error",,,30,skip],,"0001|0002")=1
上記条件式で
15分後に0003が発生して復旧してしまいました。
本条件式ではNGでした。

mkabu211さんについて

ユーザー mkabu211 の写真

アカウント名
mkabu211

本名
morita@inet.co.jp

新しいフォーラムトピック

続き

活発なフォーラムトピック

続き

ユーザーログイン

Twitter

ZabbixオフィシャルTwitter (日本語)