現状、下記のようなトリガーを定義して、指定した文字列を含むログメッセージが出た際に、
障害検知をするようにしております。
{host:log[/var/log/syslog].iregexp(@pattern1)}<>0
and
{host:log[/var/log/syslog].nodata(600)}=0
and
{host:log[/var/log/syslog].iregexp(@pattern2)}<>0
※ pattern1と、pattern2は私が設定した正規表現を示しております。
上記のトリガーを指定していると、まれに障害対象のログメッセージを検知した数秒後に、
障害対象でないログメッセージを障害検知してしまうことがあります。
イメージとしては、本来であればAとBを含むログメッセージを障害検知させるはずが、Cが出力された場合にも障害検知をしてしまうといった感じです。
上記ですが、何が原因なのでしょうか。