중복 규칙은 중복 패턴에 의해 정의됩니다. 이는 지정된 시간 간격 내에서 승인된 두 번째 및 후속 이벤트는 포함하지만 이러한 이벤트의 규칙 세트 처리는 건너뜁니다. 이는 상태 규칙입니다.
중복 패턴은 일반적으로 특정 기간 동안 유사한(중복) 이벤트를 분리하는 데 사용됩니다. 중복 이벤트는 어떤 면에서는 이전 이벤트와 유사하지만 해당 이벤트와 정확히 일치할 필요는 없습니다. 이벤트는 단순히 규칙의 이벤트 선택 기준에 부합하는 경우에만 중복됩니다. 시간 기간은 <timeWindow> 요소가 규칙 언어로 정의한 대로 필수 시간 창으로 표시됩니다.
첫 번째 이벤트는 중복 이벤트를 받지 않은 경우에도 <onDetection> 조치를 트리거합니다. 이는 첫 번째 이벤트를 전달하고 중복 이벤트의 규칙 세트 처리를 건너뛰기를 원하는 경우가 있을 수 있기 때문입니다. 이 경우 규칙의 <onDetection> 조치가 트리거될 때 첫 번째 이벤트를 전달하는 규칙 응답 조치를 추가할 수 있습니다.
중복 이벤트(두 번째 및 후속 이벤트)의 기본 처리는 중복 이벤트를 포함하지만 중복 이벤트의 규칙 세트 처리를 건너뛰는 것입니다. 중복 이벤트에 대해 추가로 조치를 취하려면 <onNextEvent> 조치를 명시적으로 정의하면 됩니다. 예를 들어, 어떤 경우에는 중복 이벤트는 데이터베이스나 다른 저장소에 이미 로깅되어 있는 이벤트를 표시합니다. 그러므로 중복 이벤트를 다른 위치에서 제거하기 위해 <onNextEvent> 조치를 코딩하고 싶을 수도 있습니다.
<onTimeWindowComplete> 조치를 처리된 중복 개수를 포함하는 모든 중복 이벤트의 요약 레코드를 작성하는 데 사용할 수 있습니다.
보안 모니터에서 "Denial of service" 메시지가 발생한 후에 30초 동안 발생한 이벤트의 중복은 포함되지만 운영자 콘솔로 전송되지는 않습니다. 또한 30초가 지난 후에 규칙은 해당 기간 동안 발생한 "Denial of service" 메시지 개수를 표시하는 이벤트를 생성합니다.