-
Incident report
-
Resolution: Declined
-
Trivial
-
None
-
5.0.3
-
None
-
None
Hello!
I've been trying for days to set up the trigger I need:
- it is necessary to get windows eventlog, compare it with global exceptions and ignore the global exception, if specified in local (host), and work logically:
trigger always fires if:
a) there is a global simultaneous exception by the code and a source (the code and a source are different global variables);
b) if there is a global simultaneous exception by code and source and there is a local exception from the exception (simultaneous)
Here's what logic looks like:
https://www.wolframalpha.com/input/?i=(C+or+D)+or+not+(+A+and+B+)
In zabbix, Regular expressions, created by:
eventlogid - ^(7040|100|999|5003[1-9]|2457[7,9],19|4[3-4])$ - [Result is FALSE]
eventsource - ^(Microsoft-Windows-WindowsUpdateClient|Zabbix test event)$ - [Result is FALSE]
create item:
eventlog[System,,,,,,skip]
and trigger to it:
(
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource({$EVENTSOURCE})}
or
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid({$EVENTLOGID})}
)
or not
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource(@eventsource)}
and
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid(@eventlogid)}
)
) <> 1
I check on the monitored host (via posh I create problems in the log):
eventcreate /t ERROR /id 999 /l system /so "Zabbix test event" /d "Test ERROR event 999 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")" eventcreate /t ERROR /id 998 /l system /so "Zabbix test event1" /d "Test ERROR event 998 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")"
and I get both problems, although logically the first request should be ignored by the ignore condition.
Getting triggered trigger with value
*UNKNOWN*
.
---------
Здравствуйте!
Уже несколько дней пытаюсь настроить триггер, который мне необходим:
- необходимо получать windows eventlog, сравнивать его с глобальными исключениями и игнорировать глобальное исключение, если указано в локальных (хоста), и работать по логике:
триггер срабатывает всегда, если:
а) есть глобальное одновременное исключение по коду и источнику (код и источник это разные глобальные переменные);
б) если есть глобальное одновременное исключение по коду и источнику и есть локальное исключение из исключения (одновременное)
Вот как выглядит логика:
https://www.wolframalpha.com/input/?i=(C+or+D)+or+not+(+A+and+B+)
В zabbix, разрел Regular expressions, создано:
eventlogid - ^(7040|100|999|5003[1-9]|2457[7,9],19|4[3-4])$ - [Result is FALSE]
eventsource - ^(Microsoft-Windows-WindowsUpdateClient|Zabbix test event)$ - [Result is FALSE]
created item:
eventlog[System,,,,,,skip]
и триггер к нему:
(
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource({$EVENTSOURCE})}
or
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid({$EVENTLOGID})}
)
or not
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource(@eventsource)}
and
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid(@eventlogid)}
)
) <> 1
Делаю проверку на наблюдаемом хосте (через posh создаю проблемы в журнале):
eventcreate /t ERROR /id 999 /l system /so "Zabbix test event" /d "Test ERROR event 999 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")" eventcreate /t ERROR /id 998 /l system /so "Zabbix test event1" /d "Test ERROR event 998 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")"
Получаю сработавший триггер со значением
*UNKNOWN*
.