Давайте по порядку.
Такой элемент данных будет принимать строки, содержащие где-либо слово "error" (маленькими буквами).
Любые другие строки из лог-файла, если они есть, будут игнорироваться.
OK.

Каждый из этих триггеров будет вычисляться при получении новых значений для этого элемента данных.
Переходить в состояние "PROBLEM", если этот элемент данных содержит строку "error " с нужным номером, и возвращаться в состояние "OK" если такой строки нет.
Если, например, у вас в этот файл были помещены такие строки:
то на сервер реально будут переданы только строки 3, 4 и 5 (остальные не содержат строку "error"). При этом значение из строки 3 приведёт к срабатыванию первого триггера (есть подстрока "error 1"), значение из строки 4 - к его закрытию (такой подстроки нет), а значение из поледней пятой строки - к срабатыванию второго триггера (есть подстрока "error 2"). Причём, второй триггер так и останется в этом состоянии, пока не придёт какое-то ещё значение, не содержащее подстроку "error 2".

Если есть ещё какие-то вопросы - то опишите подробнее, что именно у вас происходит, что вы при этом ожидаете, а что получаете реально.

Задача стоит следующая. Есть 2 файлов с логами. Есть 2 кода ошибки которые нужно отслеживать.
Создаю 2 элемента данных и 2 триггера.
Item 1:
log[C:\logs\log1.log,error]
Item 2:
log[C:\logs\log2.log,error]

Trigger 1:
{hostname:log[C:\logs\log1.log,error].str("error 1")}=1 or {hostname:log[C:\logs\log2.log,error].str("error 1")}=1
Trigger 2:
{hostname:log[C:\logs\log1.log,error].str("error 2")}=1 or {hostname:log[C:\logs\log2.log,error].str("error 2")}=1

На 2 лога файл приходит 2 кода ошибки.

Чего хотим. Получить 4 письма с кодом ошибки и названием элемента данных.

Что получаем. Приходит 4 письма, с информацией только первого лог файла. Об остальных как будто не знает.
Как бы вы реализовали это?

Еще вопрос.
logrt["C:\Logs\^.*log$","(error 1|error 2)"]

{hostname:logrt["C:\Logs\^.*log$","(error 1|error 2)"].str("error 2")}=1

Каким образом можно получить значение в уведомление, о каком файле идет речь?

Начнём с последнего вопроса.
Метрика logrt[...] не будет мониторить два файла параллельно. Она будет следить за одним файлом - тем, который менялся последним. Если под регулярное выражение для имени файла в этой метрике подпадают несколько файлов, и в каждый из них что-то пишется, то ничего хорошего не выйдет: агент будет всё время переключаться между ними и зачастую перечитывать весь файл с самого начала. По всей видимости, это не то, что вам нужно. Эта метрика предназначена для случаев, когда лог пишется в один файл, но с ротацией, в результате чего имя текущего файла может измениться (например, включает в себя текущую дату, время или номер процесса).

Я бы делал проще: на каждый файл создавал бы свой отдельный элемент данных со своим триггером, в имени которого упоминал бы имя файла. А в уведомлении пересылал бы имя события (которое берётся из имени триггера).
Только нужно ещё понимать, по какому условию закрывать триггер. Либо ждать какой-то волшебной строки в логе (но тогда регулярное выражение в ключе должно разрешать и приём такой строки), либо тупо по тайм-ауту (с помощью триггерной функции nodata()). Но последний вариант немного конфликтует с опцией "multiple generation mode".

То есть если у меня 50 файлов с логами, то нужно создать 50 элементов данных и 50 триггеров для одной ошибки? Если для двух ошибок, то 100 триггеров?

Если все эти файлы на одной машине, и вы хотите видеть имя файла в сообщении об ошибке - то да.
Но в такой ситуации глупо настраивать всё это вручную, для этого есть механизм LLD. Настраиваете один прототип элемента данных и два прототипа триггера, после чего засылаете правильно сформатированный список ваших лог-файлов - и все нужные объекты создадутся автоматически.