Смотрите мой ответ в этой ветке.

Это конечно здорово, но я не могу понять как работать с макросами...

Ну, примерно так.
Вы пишете, что у вас есть элемент данных с ключом eventlog[Security,,,,4625]. Допустим, что данные у вас собираются, и в веб-интерфейсе Monitoring -> Latest data видно, что значение одного элемента данных занимает около двух килобайт и состоит из трёх десятков строк. Вот всё это большое многострочное значение будет подставляться при использовании макроса {ITEM.VALUE}. В то же время, вы хотите, чтобы в уведомлениях, отсылаемых по e-mail, в поле Subject была видна наиболее важная информация - имя пользователя, про которого это уведомление сообщает.
Тогда надо посмотреть, каким регулярным выражением имя пользователя можно вырезать из полного значения элемента данных, и вместо макроса {ITEM.VALUE} в шаблоне для отсылаемого уведомления (в настройках действия, в соответствии с которым это уведомление отсылается) использовать макрос {{ITEM.VALUE}.regsub("регулярное выражение","\1")}.
Ну, конкретное регулярное выражение будет зависеть от того, что вы видите в качестве значения элемента данных в Latest data.

Спасибо. Но меня интересует, чтоб это поле(с именем учетной записи) выводилось в событии на самой ПАНЕЛИ мониторинга.
Как например на скриншоте, но чтоб было: "Не верно ввели пароль на СИТ Сервер с "ИМЯ УЧЕТНОЙ ЗАПИСИ""
Благодарю за помощь.

Насколько я вижу в графе "Supported in" в таблицах из документации, функции макросов можно применять не только при формировании уведомлений, но также и в именах и описаниях триггеров.

Т.е. называете свой триггер чем-то вроде:
При срабатывании триггера его имя должно быть сформировано динамически, используя эти макросы.
Кстати, если это работает, то в уведомлении на это имя триггера можно ссылаться по простому макросу {TRIGGER.NAME} .

Сделал как вы указали. В итоге получилось вот(скриншот №1)
Как я понял {item.value} заменяется на значение самого журнала, он начинает выводить весь текст лога, однако нужная мне строка находится в середине.

По regsub("регулярное выражение","\1"). Я как понял "регулярное выражение" это ключевые слова которые выбираются из журнала который получает заббикс от агента.(скриншот №2)
Я сделал название триггера Но ничего не работает...

Есть кто разбирается?)

Ну, у меня-то на "боевом" сервере версия 3.0 (которая lts), поэтому быстро проверить не могу.
Сейчас ставлю на тестовый версию 3.2, посмотрим. Подозреваю, что дело в регулярном выражении - я не вижу, как Вы его определили. Со строчкой "регулярное выражение" вместо него, конечно, ничего хорошего не найдётся :-)

Ну, в общем, у меня получается с переменным успехом.

Во-первых, агент Zabbix посылает на сервер данные не в виде XML-а, а в виде уже сформатированного текста, примерно так, как это отображается при просмотре Windows Event Viewer-ом (см. скриншот).


При этом текст "Account Name:" в сообщении встречается дважды, первый раз - с именем компьютера (оно всегда заканчивается символом доллара), и лишь второй раз - с именем реального пользователя, которым неуспешно пытались войти (в данном примере - "User").
Так происходит и с относительно старым (v2.2.7), и с самым новым (3.2.0) агентом под Windows.

Во-вторых, чтобы вырезать именно ту строку, которая НЕ заканчивается на символ доллара, я придумал такое регулярное выражение:
По идее, в группу (то, что в круглых скобках) должно попадать всё, что после фразы "Account Name:" и любого количества пробельных символов идёт до конца строки, но при этом не заканчивается долларом и непустое. Т.е. под такое условие должна подпадать только реальное имя пользователя из второй строки "Account Name:".

В итоге, название триггера получается таким:
Наконец, в-третьих, что самое печальное, мне пока что не удалось добиться устойчивой работы такой конструкции.
В веб-интерфейсе (например, в списке открытых проблем или триггеров) далеко не всегда макрос в имени триггера раскрывается правильно (иногда остаётся старое значение, иногда - вообще пусто).
В оповещениях же (где в теме письма и далее в тексте используется значение макроса {TRIGGER.NAME}) подставляется верное значение, но почему-то при этом обрезается его последний символ.

Чувствую, что это перспективное направление, но ещё толком не доделанное; надо сообщать о проблемах разработчикам.

Огромное спасибо за проделанную работу.
Но у меня все равно чучуть не получается.
У меня логи приходят на русском.
Название триггера сделал следующее:
Но он как то не правильно выводит. Чувствую что то надо еще сделать, о чем я не догадываюсь (см. скриншот)
И еще, у меня версия заббикса 3.0.

Я же изначально писал:
И потом ещё раз упоминал:
Нет, не версии 3.0 это работать не будет.
Данный функционал появился только в версии 3.2; да, как видно, и там пока ещё местами сыроват.

Вопрос: если я сервер обновлю до 3.2, то все агенты тоже придется обновлять? Агенты обновляются в ручную? Или этот процесс можно автоматизировать?

Обновлять агентов - желательно, но необязательно. Они совместимы между собой в достаточно широких пределах (у нас, например, до сих пор вместе с сервером 3.0.7 используются агенты 2.2.7). Конечно, нужно понимать, что в старых агентах не будет того функционала, который добавился лишь в новых версиях (например, шифрования трафика или элемента данных service.discovery, которые появились лишь в версии 3.0).

Как обновлять - это, к сожалению, больной вопрос, который каждый админ решает сам, поскольку встроенного механизма централизованных обновлений у агента нет. В общем случае ответ на этот вопрос - "так же, как вы изначально этих агентов устанавливали". Т.е. либо вручную, либо используя какие-то механизмы централизованной поддержки рабочих станций, если они в вашей организации есть.