• Сделать элемент данных, который будет собирать только строки, содержащие подстроку "FATAL", например:

• На этот элемент данных навесить триггер, который будет гасить его через 15 минут по таймеру:

• Recovery expression и Multiple event generation в триггере НЕ включать.

Вроде, так.

Kos, спасибо . Уже безуспешно пробовал такой вариант ранее (если верно понял). Создавал триггер (см. картинку).

В триггере указан для тестирования уровень Fatal+Info, чтобы как раз проверить тот случай, когда фатальные ошибки валятся кучей. Данный триггер конкретно в моей реализации плодит по одной ошибки на каждую строку (100 сообщений лога = 100 problems = 100 оповещений в итоге)
Т.е. в этом варианте 15 минут вообще нигде не используются, такое ощущение что этот параметр вообще игнорируется. Возможно, конечно, не туда вписал условие

А, поторопился - надо поменять на Single (вместо Multiple), сейчас тестирую...

Kos, выставил Single, в этом случае (когда фатальные ошибки валятся подряд без остановки), триггер отрабатывает ровно один раз (в самый первый раз) и висит в этом состоянии всегда. Т.е. если на основании него настроить оповещение, то ни через 15 минут, ни через час, ни через день второго оповещения не придет. Второе оповещение придет только если вручную закрыть проблему (close problem). Либо я что-то не так делаю, конечно, но пока безрезультатно.

Да, именно так. Насколько я понял из поставленной задачи, именно это и требовалось: посылать следующее письмо только при _следующей_ проблеме:
А так - да, при таких настройках будет высылаться одно уведомление до окончания проблемы. Признак окончания проблемы - отсутствие новых записей в логе в течение N минут (в данном случае N=15). Пока проблема не решена, она будет висеть на экране проблем в веб-консоли Zabbix-а.
Если нужны повторные оповещения, то можно что-то "наворачивать" на эту тему дополнительно. Самое простое - на уровне Action-а поставить дополнительные шаги через нужный интервал времени.

На данный момент в принципе функцию nodata() никак не могу использовать в триггерах на основании логов. Хотел поставить ее в recovery - не отрабатывает. Пока еще не потерял надежду, но вероятно, что это открытый баг zabbix (и заявленный функционал nodata не отрабатывает на логах):




https://stackoverflow.com/questions/...detect-no-data

Буду дальше конечно копать.

Итак, нашел решение.
https://blog.zabbix.com/close-proble...bix-api/12461/

Не совсем тривиально, но это именно то, что надо.

Выводы следующие: функция nodata() с чтением логов не работает. Вообще не работает ни в каком виде.


Пытался реализовать костыльный nodata() через log.count. Т.е. считать раз в период кол-во записей, если 0, то закрывать триггер. Но log.count в recovery триггера тоже не отрабатывает, проблема не закрывается.

Найденное решение по ссылке подходит идеально:
https://blog.zabbix.com/close-proble...bix-api/12461/

Не надо городить никакой огород из nodata(), recovery и т.д. Триггер в итоге закрывается через API в Action (вторым шагом через 15 минут после отправки сообщения).
Делается обычный триггер Single, без Recovery. На него настраивается Action (самый обычный). Просто второй операцией в Action выставляется действие скрипта (step duration = 15m, см. ссылку).
Zabbix высылает сообщение по обычному триггеру, ждет 15 минут, выполняет 2 шаг, в котором проблема закрывается.

Условие в recovery проверяется только тогда, когда перестаёт выполняться основное условие. Поэтому жалоба по ZBX-16594 была совершенно правильно закрыта: это не баг, это так и работает.


В чём проблема? Я же привёл пример, когда это используется. Единственное "но": она не совместима с режимом "Multiple event generation". На эту тему есть открытый много лет назад тикет (ещё с версии 2.0), которому всё никак не хватает голосов, чтобы быть реализованным. Но, вроде, для описанной вами задачи этот режим и не требуется.

Kos , спасибо еще раз. Решение в целом было найдено. Вы натолкнули меня на новые мысли. Nodata() и другие варианты - это все-таки некоторый костыльный обход решения, да, и я в меру своего знания плохо пониманию некоторые детали. На мой взгляд, данные функционал должен быть реализован именно в actions, т.к. связан непосредственно с рассылкой оповещений (когда оповещений становится слишком много). В итоге так и получилось, было найдено решение в actions, которое отвязано от триггеров и элементов данных. Решение вполне устраивает. Жаль, конечно, что оно не входит в базовые функции (опция "закрыть проблему после оповещения"), но это уже мелочи.