Настроено:
Item:
eventlog[System,,,"mfehidk",516,,skip]
Trigger:
{Co156:eventlog[System,,,"mfehidk",516,,skip].str(vstskmgr.exe)}=1 & {Co156:eventlog[System,,,"mfehidk",516,,skip].nodata(60)}=0
1. В Item указно skip, в доках указано что данные долны начать браться с последнего элемента, а старое пропустить. Но при включении Item агент закачивает все подобные события в базу. Я не правильно понимаю параметр, или почему так?
2. Что бы перевести тригер EventLog в состояние ОК использую nodata(60), чтобы он стал ОК через 1 минуту. Это единственный вариант перевести триггер в состояние ОК для eventLog, или есть какие-то другие способы?
Не создает ли это большой нагрузки на сервер, если он отсчитавает время таким образом? Не будет ли сервер считать это время постоянно, даже когда не было первого события?
И еще обычно приходили письма от триггеров типа
Trigger: <trigger>
Item values:
1. <some value>
2. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*
3. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*
А на этого триггера приходят с двумя значениями, это нормально?
Trigger: Event_516 trigger
Item values:
1. 10104 (Co156:eventlog[System,,,"mfehidk",516,,skip]): Process ...
2. 10104 (Co156:eventlog[System,,,"mfehidk",516,,skip]): Process ...
3. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*
Item:
eventlog[System,,,"mfehidk",516,,skip]
Trigger:
{Co156:eventlog[System,,,"mfehidk",516,,skip].str(vstskmgr.exe)}=1 & {Co156:eventlog[System,,,"mfehidk",516,,skip].nodata(60)}=0
1. В Item указно skip, в доках указано что данные долны начать браться с последнего элемента, а старое пропустить. Но при включении Item агент закачивает все подобные события в базу. Я не правильно понимаю параметр, или почему так?
2. Что бы перевести тригер EventLog в состояние ОК использую nodata(60), чтобы он стал ОК через 1 минуту. Это единственный вариант перевести триггер в состояние ОК для eventLog, или есть какие-то другие способы?
Не создает ли это большой нагрузки на сервер, если он отсчитавает время таким образом? Не будет ли сервер считать это время постоянно, даже когда не было первого события?
И еще обычно приходили письма от триггеров типа
Trigger: <trigger>
Item values:
1. <some value>
2. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*
3. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*
А на этого триггера приходят с двумя значениями, это нормально?
Trigger: Event_516 trigger
Item values:
1. 10104 (Co156:eventlog[System,,,"mfehidk",516,,skip]): Process ...
2. 10104 (Co156:eventlog[System,,,"mfehidk",516,,skip]): Process ...
3. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*
Comment