-
Incident report
-
Resolution: Unresolved
-
Trivial
-
None
-
5.0.3
-
None
-
None
Hello!
I've been trying for days to set up the trigger I need:
you must get windows eventlog, compare it with global exceptions, and ignore the global exception if specified in local (host), and work logically:
https://www.wolframalpha.com/input/?i=(C+or+D)+or+not+(+A+and+B+)
trigger always fires if:
a) there is a global simultaneous exception by the code and a source (the code and a source are different global variables);
b) if there is a global simultaneous exception by code and source and there is a local exception from the exception (simultaneous)
In zabbix, Regular expressions, created by:
eventlogid - ^(7040|100|999|5003[1-9]|2457[7,9],19|4[3-4])$ - [Result is FALSE] eventsourc - ^(Microsoft-Windows-WindowsUpdateClient|Zabbix test event)$ - [Result is FALSE]
created item:
eventlog[System,,,,,,skip]
and trigger to it:
(
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource({$EVENTSOURCE})}
or
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid({$EVENTLOGID})}
)
or
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource(@eventsource)}
and
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid(@eventlogid)}
)
) = 1
I check on the observed host (through posh I create problems in the log):
eventcreate /t ERROR /id 999 /l system /so "Zabbix test event" /d "Test ERROR event 999 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")" eventcreate /t ERROR /id 998 /l system /so "Zabbix test event1" /d "Test ERROR event 998 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")"
I get the correct response, only the entry "Test ERROR event 998 log by Zabbix", but if you execute
eventcreate /t ERROR /id 997 /l system /so "Zabbix test event" /d "Test ERROR event 997 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")"
that problem is not created.
—
Здравствуйте!
Уже несколько дней пытаюсь настроить триггер, который мне необходим:
необходимо получать windows eventlog, сравнивать его с глобальными исключениями и игнорировать глобальное исключение, если указано в локальных (хоста), и работать по логике:
https://www.wolframalpha.com/input/?i=(C+or+D)+or+not+(+A+and+B+)
триггер срабатывает всегда, если:
а) есть глобальное одновременное исключение по коду и источнику (код и источник это разные глобальные переменные);
б) если есть глобальное одновременное исключение по коду и источнику и есть локальное исключение из исключения (одновременное)
В zabbix, разрел Regular expressions, создано:
eventlogid - ^(7040|100|999|5003[1-9]|2457[7,9],19|4[3-4])$ - [Result is FALSE] eventsourc - ^(Microsoft-Windows-WindowsUpdateClient|Zabbix test event)$ - [Result is FALSE]
создан item:
eventlog[System,,,,,,skip]
и триггер к нему:
(
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource({$EVENTSOURCE})}
or
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid({$EVENTLOGID})}
)
or
(
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logsource(@eventsource)}
and
{Template OS Windows Active Eventlog:eventlog[System,,,,,,skip].logeventid(@eventlogid)}
)
) = 1
Делаю проверку на наблюдаемом хосте (через posh создаю проблемы в журнале):
eventcreate /t ERROR /id 999 /l system /so "Zabbix test event" /d "Test ERROR event 999 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")" eventcreate /t ERROR /id 998 /l system /so "Zabbix test event1" /d "Test ERROR event 998 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")"
Получаю правильное срабатывание, только запись "Test ERROR event 998 log by Zabbix", но если выполнить
eventcreate /t ERROR /id 997 /l system /so "Zabbix test event" /d "Test ERROR event 997 log by Zabbix - $(Get-Date -UFormat "%m/%d/%Y - %T")"
то проблема не создаётся.