일반적으로 각 활성 규칙에는 ACT(Active Correlation Technology) 엔진에서 실행 중인 하나의 규칙 인스턴스 또는 사본이 있습니다. 그러나 때로는 종종 다른 자원 그룹과 관련되는 다른 이벤트 그룹에 동일한 규칙이 필요하기도 합니다. 그룹화 키는 선택한 이벤트를 한 그룹으로 고유하게 처리하기 위해 다른 그룹으로 분리하는 데 사용할 수 있는 하나 이상의 이벤트 속성 또는 이벤트 속성의 일부입니다. <groupingKey> 요소는 규칙의 그룹화 키를 정의합니다. <groupingKey> 요소의 용도는 규칙에게 공통 특성을 공유하는 각 이벤트 그룹의 규칙 인스턴스(또는 사본)를 작성하도록 지시하는 것입니다(그룹화 키를 구성하는 해당 속성값에 의해 정의됨).
다음 두 개의 시나리오는 그룹화 키의 중요성을 설명합니다.
연속 규칙이 그룹화 키 없이 정의되어 있고 컴퓨터 A로부터 DB2down 이벤트를 받은 경우, 다른 컴퓨터로부터 받은 DB2up 이벤트의 순서는 완료되지만 이 작업은 계획대로 수행되지 않습니다. 그러나 그룹화 키가 호스트 이름 속성으로 정의된 경우 규칙의 고유 사본 또는 인스턴스는 선택된 이벤트의 호스트 이름 속성의 고유값마다 작성됩니다. ACT(Active Correlation Technology) 엔진은 각 이벤트를 올바른 규칙 인스턴스(해당 이벤트의 호스트 이름 값의 규칙 인스턴스)로 보냅니다. 그러므로 컴퓨터 A로부터 DB2down 이벤트를 받으면 ACT(Active Correlation Technology) 엔진은 컴퓨터 A의 규칙 인스턴스를 작성합니다. 컴퓨터 B로부터 DB2down 이벤트를 받으면 ACT(Active Correlation Technology) 엔진은 컴퓨터 B의 두 번째 규칙 인스턴스를 작성합니다. 컴퓨터 B로부터 DB2up 이벤트를 받으면 ACT(Active Correlation Technology) 엔진은 두 번째 규칙 인스턴스에서 해당 이벤트를 처리합니다. 컴퓨터 B로부터의 DB2down 및 DB2up 이벤트가 올바르게 연관되지 않았으므로 순서가 완료되고 운영자는 경보를 받습니다.
그룹화 키는 사용자 ID로서 정의될 수 있습니다. 그런 다음 각 고유 사용자 ID마다 새 규칙 인스턴스가 작성됩니다. 각 사용자의 로그인 시도는 각 인스턴스가 해당 사용자의 로그인 시도 횟수를 별도로 카운트하여 고유 임계값 규칙 인스턴스에서 추적됩니다. 사용자 ID가 5분 동안 10회의 잘못된 로그인 횟수를 넘으면 운영자는 경고를 받게 됩니다.
규칙에 지정된 모든 이벤트 유형에 동일한 속성이 있으면 <attributeName> 요소를 사용하는 것이 그룹화 키를 정의하기 위한 가장 단순하고 일반적인 방법입니다.
<groupingKey>에는 다음 속성이 있습니다.
이름 | 설명 | 데이터 유형 | 필수 여부 |
---|---|---|---|
missingAttributeHandling | 규칙이 다음과 같은 조건에서 수행해야 하는 조치를 정의합니다.
missingAttributeHandling 속성의 올바른 값은 다음과 같습니다.
|
xsd:string | 아니오 |
<groupingKey>에는 다음 요소가 포함되어 있습니다.
요소 | 필수 또는 선택적 여부 |
---|---|
<attributeAlias> | 이러한 요소 중 하나는 필수입니다. 이러한 요소를 둘 이상 코딩하는 것은 선택적입니다. 세 요소 모두 여러 번 발생이 허용됩니다. 이러한 요소는 어떤 순서로든지 코딩될 수 있습니다. |
<attributeName> | |
<computedValue> |