тут редко отвечают на такие вопросы, а я отвечу

Никак, это все текстовое поле из журнала виндовс.
По вашему скрину могу сказать что у вас версия 1.8.2 или младше. Обязательно обновляйтесь на 1.8.4 - и у вас станет значительно меньше дискомфорта. Это было улучшено вот здесь.
Также следует обновить агента, вот почему.
Как это выглядит сейчас:


Если я вам помог, проголосуйте пожалуйста здесь, это в ваших же интересах .

Спасибо за ответ. А еще хотел уточнить, т.е. никак не сделать чтобы в записывались значения где адрес источника отличен от 192.168.0.0/16, раз это все текстовые поля?

Гмм, я и с разу сомневался правильно ли понимаю первый вопрос, сейчас еще больше сомневаюсь.
Старайтесь более точно составлять вопрос и как минимум без ошибок.

Во первых, это не текстовые поля, это одно текстовое поле в котором содержится многострочный текст, частично оформленный с помощью символов табуляции.

Если вы на стороне агента хотите отбросить все значения которые в тексте события содержат "192.168.0." то нужно сооружать непростое регулярное выражение да и еще с исключением а не как обычно включением (как раз этим у себя занимаюсь).
Или делать регулярное выражение на включение нескольких подсеток, которые могут там к вам коннектиться с попытками входа в систему.

В вашем случае проще настраивать триггер - если текст содержит "192.168.0.", тогда ПРОБЛЕМА.
Работа с эвентлогом - это особая философия.

Собственно, потребовалось решить как раз такую задачу. Нужно фильтровать события на стороне агента, чтобы в базу попадали все события, за исключением событий с определёнными id. Может кто привести пример такого рег. выражения?

Ох, наболевший вопрос.
С наскоку в этом вопросе не разберешся.
Смотрите сюда https://support.zabbix.com/browse/ZBX-3924

Известно что сервер ну и агент тоже изпользуют glibc для рассчета регулярных выражений.
Эта библиотека поддерживает POSIX extended выражения.


а POSIX extended (POSIX ERE) не поддерживает negate выражения как я помню/понимаю.
Смотрите http://www.regular-expressions.info/refflavors.html


Поэтому то и сложно мониторить виндовс логи, нужно отсекать только то, что точно считаешь лишним ибо не знаешь наперед что может оказаться необходимым.






НО БИНГО, Я НАШЕЛ ВЫХОД С ПОЛОЖЕНИЯ И ОН *РАБОТАЕТ* !!!!
ПРИ ЧЕМ ИЗЯЩНО РАБОТАЕТ
ЖДИТЕ СЛЕДУЮЩИЙ КОММЕНТ.
БЛИН КАК Я ДО ЭТОГО РАНЕЕ НЕ ДОДУМАЛСЯ

Ну, вот поломал я себе мозг пару дней, и решил сюда написать
С нетерпением!

PS. Вроде бы заработал такой вариант:
eventlog[Security,,,,"^([^6]|6[^378]|63[^12]|67[^234]|68[^0])$",]
Отфильтровываются сообщения с ID 631, 632, 672, 673, 674, 680
Только больно уж монструозен этот вариант

PPS. Теперь на этого монстра триггер не вешается
Сам триггер
{srv-test:eventlog[Security,,,,"^([^6]|6[^23478]|62[^7]|63[^12]|64[^26]|67[^234]|68[^0])$",].nodata(30)}=0
Ошибка при добавлении
Incorrect closing parenthesis in trigger expression.
Check expression part starting from " ])$",].nodata(30)}=0 "

Сдаюсь...

zalex_ua, решением-то поделишься?

Прошу прощения за обещания и задержку, хотел написать немного комментариев, но пока нету времени. Я надеюсь в ближайшем будущем в документации появится страница на эту тематику или на сайте www.zabbix.org

Смотрите скриншоты.
Получаем все события за исключением тех у которых ИДшники: 70, 50, 7005, 2150
Глобальное регулярное выражение (которое вы можете расширять):


А потом вот такой айтем:


Документация:
http://www.zabbix.com/documentation/...ar_expressions

И конечно же голосуем за ZBXNEXT-597

Попробуйте это на последней версии веб-интерфейса 1.8.11, а еще лучше также и на на 2.0.0rc2
Если воспроизводится, сообщите пожалуйста о проблеме на трекере https://support.zabbix.com/browse/ZBX

Огромное спасибо, до победы мне, оказывается, не хватило всего ничего: Expected result: FALSE, а я TRUE почему-то ставил
Завтра опробую.
Эта ошибка на 1.8.10 вылетает. 1.8.11 в репах CentOS пока нет, а собирать пока недосуг. Будет время - займусь.
Спасибо ещё раз

Подскажите пожалуйста как лучше решить след. задачу:
Требуется получать на почту сообщения содержащие в себе description эвентов, НО при этом имеется ряд эвентов которые получать не требуется.
То-есть планируется со временем отфильтровывать ненужные эвенты, а для того чтобы получать неизвестные нам (новые) event'ы нужно идти от обратного. Не фильтровать на то что нам нужно, а фильтровать на то что нам НЕ нужно. Гараздо проще было бы фильтровать eventlog на уже известные нам event'ы но тогда новые ошибки и события просто не подпадали бы под наш фильтр и соответственно мы бы о них не знали.

Есть Item: eventlog[System,,"Warning|Error"]
Есть ряд глобальных выражений содержащих ID событий.
Можно так же создать несколько глоабльных выражений содержащих значение Application'ов.
Но т.к. ID событий могут совпадать у разных Application'ов, нужно определённые ID (то-есть глобальные выражения) привязать как-то к Apllication'ам.
Можно конечно насоздавать ещё Item'ов и в них складывать события в зависимости от Application'a. Но опять же если появиться ошибка с новым Application'ом мы её не получим.

Я ещё смотрел в сторону связки вот таких тригеров для тех Application которые нам известны
но не знаю можно ли использовать глобальные регулярные выражения в тригерах
{TESTCOMP:eventlog[System,,"Warning|Error"].logsource("WinHTTP")}=1&{TESTCOMP:eventlog[System,,"Warning|Error"].logeventid(@ID_EVENTLOG)}=0
и вот такого тригера для всех остальных Application'ов:
{TESTCOMP:eventlog[System,,"Warning|Error"].logsource(@APPLICAION_EVENTLOG)}=0

@ID_EVENTLOG: содержит ID не нужных событий для каждого Application'a свои
@APPLICATION_EVENTLOG: содержит список всех известных нам Application'ов чтобы в случае если тут не будет текущего Application'а он был подтянут нашим тригером.
- Так постепенно пополняя оба глобальных выражения мы будем отфильтровывать то что нам не нужно.

Так же не очень понятно какие переменные\макросы указывать в description тригеров , что бы в отсылаемом сообщении была расшифровка события (description события).

Подскажите пожалуйста как организовать правильно работу с eventlog'ом.

Спасибо за отличный пост !
Логика правильная.

Согласно доке функция logsource не поддерживает регулярных выражений. И это накладывает некие ограничения на вашу задумку.
Но думаю что это можно просить разработчиков изменить. Не вижу ничего сложного поддерживать там регулярные выражения, не вижу никаких проблем с обратной совместимостью существующих инсталляций.
Такого фич реквеста нету - только что проверил, так что создавайте.

Чтобы получить описание события вам в действии все что нужно это указать макрос {ITEM.VALUE} (не {ITEM.LASTVALUE} !!! )
А в триггерах дескрипшен просто пишите то что считаете нужным.

FEATURE REQUESTS ZBXNEXT-1701
Создал.

Но вопрос о том как лучше решить данную ситуацию имеющимся в данный момент функционалом по прежнему актуален.

Предварительно:
eventlog [System,,"Warning|Error","WinHTTP",@WinHTTP_ID] - и так под каждое приложение.
eventlog [System,,"Warning|Error",@APPLICATION_EVENTLOG] - так будем перекрывать все сообщения от неизвестных нам служб.