Когда в настройках триггера есть отдельно условие срабатывания и условие восстановления, то условие восстановления проверяется только после того, как перестало выполняться условие срабатывания (т.е. условие восстановления является дополнительным).

Предположим, что данные собираются с интервалом раз в минуту.
Рассмотрим сценарий: событий в логах долгое время нет (log.count[...] возвращает нули), затем - в течение нескольких минут события есть, причём довольно много (допустим, в течение 5 минут приходят не нули, а каждый раз по десятке), а затем - всё рассосалось, и снова приходят одни нули.

Первый триггер среагирует на первую же десятку (она больше 30), а закроется через 3 минуты после последней десятки (т.к. за последние 3 минуты будут одни нули).

Второй триггер среагирует чуть позже, когда таких десяток наберётся больше 3 штук, чтобы их сумма превысила 30. Однако и закроется тоже позже, т.к., например, через 25 минут после того как проблема "рассосалась", при вычислениях "за последние полчаса" всё еще будут фигурировать пять десяток, дающих в сумме значение, большее 30.

Я бы рекомендовал для вашего сценария вместо триггерной функции sum() использовать функцию min():

• для первого триггера:

• для второго триггера:

Выражение восстановления в таком случае не нужно.
Логика: если в течение трёх минут (или 30 минут) подряд идут ошибки в логе, то триггер срабатывает; как только прекратились (пришёл первый ноль) - закрывается.

Правда, такой триггер не будет срабатывать в случае, если ошибки появляются с интервалом, бОльшим, чем период опроса. В нашем примере - если опрашиваем раз в минуту, а ошибки возникают каждые 2 минуты (причём "пачками" по 10 штук), то с таким условием триггер на это не отреагирует.
Но для таких ситуаций можно использовать функции avg() или count().

Спасибо. Я понял вашу логику. Нужно переопределить условия.