阈值规则是由阈值模式定义的。该规则将在某个时间间隔内收集一组选定的事件,并在 接收到每个事件后确定是否已符合阈值条件。该规则为全状态规则。
在符合阈值之前,阈值模式将在某个时间段内一直收集 事件。时间段由必需的时间窗口指示,该窗口使用规则语言中的 <timeWindow> 元素定义。
该类型的阈值可用于极为简单的事件计数检查。例如,可用于回答以下问题:“是 否在 1 分钟内发生了 5 次登录失败事件?”
因此,可将复杂计算应用于创建(或更新)计算的阈值(可 能使用从先前事件保存的数据),且规则编写者可以独立于用于计算“计算的阈值”的逻辑来设 置“定义的阈值”。
该类型的阈值可用于将某个值聚集并与定义的阈值进行比较。例如, 可用于计算在某个时间段内对某个客户的销售总额,并将该总额与定义的阈值进行比较。
该阈值由 <computedThreshold> 元素定义。
该类型的阈值可用于检查某个范围的值。例如,如果 CPU 使用率 必须始终介于 30% 和 80% 之间,则该阈值可经常验证使用率是否保持在该范围内。
该阈 值由 <booleanThreshold> 元素定义。
如果在 30 秒的滑动时间间隔内,从相同子网发生的 Server unreachable 事件超过 4 次,则该规则将运行操作以检查路由器的状态。