Une règle de seuil est définie par le modèle de seuil. Elle collecte un groupe d'événements sélectionnés au cours d'un intervalle de temps et détermine, une fois que chaque événement a été reçu, si une condition de seuil est remplie. Il s'agit d'une règle avec état.
Le modèle de seuil collecte les événements au cours d'un intervalle de temps, jusqu'à ce qu'une valeur de seuil soit atteinte. La période est indiquée par une plage temporelle obligatoire, telle que définie par l'élément <timeWindow> dans le langage de règle.
Ce type de seuil peut être utile pour une vérification très simple du comptage d'événements. Il peut, par exemple, répondre à la question suivante : "Cinq événements d'échec de connexion se sont-ils produits dans la même minute ?"
event reception time + time interval duration for rule > current timeS'il n'existe aucun événement de ce type, l'intervalle glissant ne peut plus réajuster l'heure de début et s'achève.
Un calcul complexe peut donc être mis en oeuvre afin de créer (ou mettre à jour) une valeur de seuil calculée, éventuellement à l'aide de données sauvegardées à partir d'événements précédents, et le rédacteur de la règle peut définir la valeur de seuil définie indépendamment de la logique qui calcule la valeur de seuil calculée.
Ce type de seuil peut être utile pour le regroupement et la comparaison d'une valeur par rapport à une valeur de seuil définie. Il peut par exemple permettre de calculer les ventes totales (exprimées en euros) réalisées auprès d'un client donné sur une période donnée, pour ensuite comparer cette somme à une valeur de seuil définie.
Ce seuil est défini par l'élément <computedThreshold>.
Ce type de seuil peut permettre de vérifier une plage de valeurs. Par exemple, si l'utilisation de l'unité centrale doit se situer entre 30 % et 80 % à tout moment, ce seuil peut vérifier en permanence que l'utilisation demeure dans cette plage.
Ce seuil est défini par l'élément <booleanThreshold>.
Si plus de quatre (4) événements Server unreachable (serveur introuvable) sont émis par le même sous-réseau au cours d'un intervalle de temps glissant de 30 secondes, la règle exécute une vérification de l'état d'un routeur.