Ваша проблема в том, что триггер пересчитывается только каждый раз по приходу нового значения. У вас условие триггера - искать там строку, содержащую фразу "FAILED LOGIN".
Однако, сам элемент данных (см. второй параметр ключа) изначально содержит фильтр, согласно которому на сервер отсылаются только строки, содержащие эту фразу.
Таким образом, на сервер агентом всегда отсылаются только строки, на которые надо срабатывать, поэтому (согласно условию триггера) он, сработав один раз, всегда в этом положении и остаётся.

В принципе, можно так и оставить, если вариант "закрывать проблему каждый раз вручную" устраивает.
В противном случае нужно определиться, что будет тем критерием, по которому нужно проблему закрывать автоматически, от этого зависит решение.
Например:

• закрывать проблему, когда в лог пришли какие-то ещё сообщения, которые не содержат указанной фразы. Тогда надо просто убрать второй параметр из ключа элемента данных, чтобы на сервер пересылались все строки лога. Как вариант - подкорректировать этот параметр, чтобы на сервер пересылались не все, а только некоторые строки лога; но при этом важно, чтобы под такой фильтр подпадали не только строки с фразой "FAILED LOGIN", но и хотя бы какие-то ещё (по которым проблема и будет закрываться).
• закрывать проблему по таймеру. Один из самых простых вариантов: в этом случае ключ элемента данных менять не надо, а условие триггера переписать с помощью триггерной функции nodata() таким образом, чтобы он срабатывал только для данных, которые пришли не более N минут назад. Тогда через N минут проблема закроется сама, т.к. при использовании временнЫх функций (nodata(), в частности) условие триггера пересчитывается не только по приходу каждого нового значения, но и просто по таймеру каждые 30 секунд. И рано или поздно условие nodata() перестанет выполняться, в результате чего проблема будет закрыта.