Acho que não entendi direito qual é sua necessidade.
Você precisa criar uma trigger que gere um evento e, a partir daí, seja iniciada uma ação de envio de e-mail? É isso?

Você já definiu o que sua trigger deve avaliar?

Perdão pela má explicação.
Eu tenho o item e uma trigger criadas com o log de eventos "logeventid(/xxxxxxx/eventlog["Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational"])=1" em 7 servidores com o mesmo SO, mesma rede porém a trigger é acionada sempre nos mesmos servidores de 7 em apenas 3 a trigger aciona e agora gostaria de saber como fechar automaticamente o evento. A trigger avisa que alguém logou em meu servidor, envia os logs certinhos porém ela fica como aberta e eu preciso fechar manualmente. Gostaria de saber como faço para que ela seja fechada automaticamente.

Desculpe se ainda estiver confuso pois sou novo no zabbix e talvez não saiba exatamente como explicar, mas são 2 problemas por agora.

1 - Como fazer a trigger funcionar em todos os meus 7 servidores.
2 - Como fazer para que o incidente seja fechado automaticamente.

Me parece que sua trigger não está completa.
A key "eventlog" captura os eventos registrados de acordo com o caminho (path) que você especificar.
Além disso, ela também pode especificar alguns filtros para a captura do log. Um bom filtro é o próprio ID do evento.

Pelo que entendi até agora, você está capturando os eventos de autenticação via RDP no caminho "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational". Sendo assim, acredito que o item pode utilizar a chave "eventlog" com o filtro "1149" conforme abaixo.

Code:

eventlog["Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational",,,,"1149",,skip]

Deste modo, o item capturará somente os eventos de autenticação RDP, conforme a sua imagem inicial. O parâmetro "eventid" (5ª posição) da key "eventlog" permite que você utilize uma expressão regular, então, você filtrar por mais IDs no mesmo path.

Quanto à trigger, a função "logeventid" verifica se o valor do evento condiz com uma expressão regular.
Sendo assim, você deve especificar uma expressão regular para ser avaliada. Se a expressão for verdadeira, isto é, se for encontrada, a função retorna o valor 1. Entretanto, não encontrei essa expressão no seu exemplo.
Se sua intenção é gerar um evento para cada autenticação RDP nos servidores, acredito que a função deve funcionar da seguinte forma:

Code:

logeventid(/WIN11/eventlog["Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational"],#1,"1149")=1

Com isso, sempre que o item receber novos eventos com o ID 1149, a trigger será verdadeira e um novo evento será gerado.


Para gerar múltiplos eventos, você pode marcar a opção "PROBLEM event generation mode" = "Multiple" na configuração da trigger.
Mas, como já percebeu, neste formato os eventos não serão fechados pois a condição da trigger nunca será falsa. Isso significa que a função "logeventid" sempre retorna 1 quando um novo evento é capturado, já que o item não recebe outro tipo de informação.

Para fechar os eventos automaticamente, vejo algumas possibilidades:

• Você pode identificar no mesmo path a opção que seria o evento que indique a desconexão do usuário. Eu não identifiquei um evento correspondente ao ID 1149 para desconexão.
• Ou você pode utilizar outros eventos para fazer esta avaliação. Me parece que existem alguns eventos mais interessante no Windows para identificar a conexão remota de um usuário (21), bem como a sua desconexão.