いつもお世話になっております。
テンプレートを使用して、各サーバのApplicationイベントログ監視をしており
エラーレベルErrorのイベントを検出時にトリガー発報するよう設定しています。
その上で以下の内容を実現したく、ご教授お願いいたします。
【実現したい内容】
・特定のイベントIDではアラートをあげないよう抑止する
・抑止するイベントIDはホストによって異なるため、ホストマクロにて設定する
・ステータスを常に「障害」状態で運用する
(抑止イベントIDが検出された場合、「正常」に戻らない設計にしたい)
→障害復旧は、「障害対応コメント」を入力することにより判断しているため
現在、以下のようにアイテム/トリガー設定していますが
抑止イベントID検出時に、ステータスが「正常」に戻ってしまいます。
アイテム:eventlog[Application,,"Critical|Error"]
トリガー:{Template_Name:eventlog[Application,,"Critical|Error"].logseverity(4)}=4
and
{Template_Name:eventlog[Application,,"Critical|Error"].logeventid({$APP_ERR_ID})}<>1