Необходимое критическое оповещение для идентификатора конкретного события не создается в течение 24 часов

Самый простой способ - установить пустое состояние и использовать счетчик так же, как вы это делали, переопределяя значение по умолчанию, которое "нормально", когда ничего не найдено.

Ничего не найдено:

check_eventlog scan-range=24h "filter=id=1008 and written < 24h" warn=none "crit=count=0" empty-state=critical
L        cli CRITICAL: CRITICAL: No entries found
L        cli  Performance data: 'count'=0;0;0

Что-то найдено:

check_eventlog scan-range=24h "filter=id=1008 and written < 24h" warn=none "crit=count=0" empty-state=critical
L        cli OK: OK: Event log seems fine
L        cli  Performance data: 'count'=12;0;0

Вы можете немного очистить синтаксис, используя:

• показать все
• пустой синтаксис

Вот так:

Что-то найдено:

check_eventlog scan-range=24h "filter=id=1008 and written < 24h" warn=none "crit=count=0" empty-state=critical show-all "empty-syntax=Nooooohhhh"
L        cli CRITICAL: Nooooohhhh
L        cli  Performance data: 'count'=0;0;0

Ничего не найдено:

check_eventlog scan-range=24h "filter=id=1008 and written < 24h" warn=none "crit=count=0" empty-state=critical show-all
L        cli OK: OK: 12 message(s) .....)
L        cli  Performance data: 'count'=12;0;0

Также обратите внимание этот идентификатор события НЕ уникален в глобальном масштабе, вместо этого они уникальны для каждого источника, поэтому использование только идентификатора события, скорее всего, не будет работать должным образом, если другое приложение (источник) будет использовать тот же идентификатор события ...

P.S. Это было протестировано на 0.5.1, а не на 0.5.0, но теоретически должно работать и на 0.5.0 ...