Добрый день.
Бывают ситуации когда за короткий период времени одно и тоже сообщение в анализируемых логах может повторяться много раз, соответственно на каждое такое сообщение формируется аларм. Возможно ли настроить NetXMS так чтобы он получив первое сообщение сформировал аламр и не реагировал на такие же, к примеру, по id и source, в течении определённого времени.
В настройкак правила EPP, где создаете alarm – укажите alarm key. В ключе можно использовать макросы – http://wiki.netxms.org/wiki/UM:Event_Processing#Macros_for_Event_Processing
Если при добавлении нового аларма система находит уже существующий с совпадающим ключем, то аларм не создается, а у существующего увеличивается значение "count".
Думал об таком решении, но есть две сложности.
1. Нельзя определить уникально сообщение или нет, если анализировать, к примеру, весть журнал application (windows event log), а не конкретные события.
2. События могу повторяться с какой-то периодичностью, при таком подходе об их повторении можно будет узнать только через консоль.
Почему возникла такая необходимость. Пара примеров при которых появляются однотипные сообщения: сканирование на уязвимости, ошибки доступа к веб-сервисам и т.п.