【現在の環境】
Rocky Linux:8.4
Zabbix Server:5.4.6
postgreSQL:13.3
アイテムとしては、指定したログファイルに正規表現でフィルタをかけており、
トリガーとしては、上記のアイテムのフィルタ条件に合致したログが、「1時間に5件以上」発生した場合に、警告をメールで通知する設定としております。
なお、監視時間と件数の閾値はマクロで設定しており、障害イベント生成モードは単一として、一度警告を通知したら復旧(1件も該当ログがない(nodata=1)状態が1時間継続)するまでは再通知はしない設定としております。
また、トリガーに対するアクションとしては、デフォルトのメッセージだと、短時間に警告が連続して発生した場合に最新の情報が出力されないため、現在はアクションのメッセージにおいて {ITEM.VALUE} を出力するよう以下のようにカスタマイズしております。(現状、ログに関するアクションは全て共通でこの設定を使用しております)
-----------------------------------
Problem started at {EVENT.TIME} on {EVENT.DATE}
Problem name: {EVENT.NAME}
Host: {HOST.NAME}