いつもお世話になっております。
ログ監視におけるnodata関数について質問させていただきます。
以下のような目的と設定で、ログを監視していますが、
イベントで障害が発生している時間のログが確認できない事象が発生しております。
■目的
・errなどの文字列を含むメッセージが出力された場合障害として検知
・同じアラートが連続して出力された場合もひとつの障害として検知
・障害対象のメッセージが出力してから300秒間メッセージがなければ復旧
※Zabbixは30秒ごとにログを監視する設定
■トリガーの設定
・条件式
({localhost:logrt["/var/log/messages"].iregexp(err|crit|alert|emerg)}=1) and ({localhost:logrt["/var/log/messages"].nodata(300)}=0)
・障害イベントを継続して生成する
■質問
・上述の設定の動きとして、最初に障害対象のログが検知してから30秒ごと(300秒間)にZabbixが障害として検知している障害は、
最初に検知したメッセージを検知しているのでしょうか。
以上、よろしくお願いします。