http://habrahabr.ru/post/215509/
^F < "1102|4624|4625|4720|"

эту статью я видел, но ответа на свой вопрос я в ней не увидел (в ней фактически описан вторая часть моего сообщения). мне не нужно из общего лога элементом данных выбирать конкретные события. Это прекрасно могут делать тригеры типа logeventid и logsource. мне бы посчитать сработки этих тригеров, и на основании кол-ва сработок этих тригеров сделать триггер, который бы уже более важную информацию сказать смог.
Пр. допустим есть ЭД eventlog[Application,,Error], прописываем триггер
{Eventlog:eventlog[Application,,Error].logsource(Application Hang)}=1 (важность=информация), а затем мне нужен такой тригер чтобы при сработке пердыдущего тригера 3 раз за 1 час было событие с важностью=высокая

Иными словами, вы хотите иметь обычный алерт на Application Hang и сверхсрочный на 3x Application Hang за последние пять минут? Тогда, видимо, придется сделать просто независимые триггеры на Application Hang и на 3x Application Hang (https://www.zabbix.com/forum/showpos...3&postcount=17), навешенные на один айтем с eventlog-ом.

Просто не совсем понимаю зачем наворачивать триггер от триггера, если можно проще поступить.

вообщем вот как я сделал бы:

использовал бы эскалацию в действиях, т.е. создаешь действие которое будет следить за твоими тригеррами, включаешь эскалацию начиная с 3 шага и получишь в итоге - после третьего срабатывания ты увидишь мессагу о проблеме.

Думаю, что это будет действие, которое выполнится при неизменной активности триггера в течении трех шагов эскалации, а не при трех прыжках "Problem"-"OK"