NetXMS Support Forum

Добрый день.

Бывают ситуации когда за короткий период времени одно и тоже сообщение в анализируемых логах может повторяться много раз, соответственно на каждое такое сообщение формируется аларм. Возможно ли настроить NetXMS так чтобы он получив первое сообщение сформировал аламр и не реагировал на такие же, к примеру, по id и source, в течении определённого времени.

В настройкак правила EPP, где создаете alarm – укажите alarm key. В ключе можно использовать макросы – http://wiki.netxms.org/wiki/UM:Event_Processing#Macros_for_Event_Processing

Если при добавлении нового аларма система находит уже существующий с совпадающим ключем, то аларм не создается, а у существующего увеличивается значение "count".

Думал об таком решении, но есть две сложности.

1. Нельзя определить уникально сообщение или нет, если анализировать, к примеру, весть журнал application (windows event log), а не конкретные события.
2. События могу повторяться с какой-то периодичностью, при таком подходе об их повторении можно будет узнать только через консоль.

Почему возникла такая необходимость. Пара примеров при которых появляются однотипные сообщения: сканирование на уязвимости, ошибки доступа к веб-сервисам и т.п.