groupingKey 요소

일반적으로 각 활성 규칙에는 ACT(Active Correlation Technology) 엔진에서 실행 중인 하나의 규칙 인스턴스 또는 사본이 있습니다. 그러나 때로는 종종 다른 자원 그룹과 관련되는 다른 이벤트 그룹에 동일한 규칙이 필요하기도 합니다. 그룹화 키는 선택한 이벤트를 한 그룹으로 고유하게 처리하기 위해 다른 그룹으로 분리하는 데 사용할 수 있는 하나 이상의 이벤트 속성 또는 이벤트 속성의 일부입니다. <groupingKey> 요소는 규칙의 그룹화 키를 정의합니다. <groupingKey> 요소의 용도는 규칙에게 공통 특성을 공유하는 각 이벤트 그룹의 규칙 인스턴스(또는 사본)를 작성하도록 지시하는 것입니다(그룹화 키를 구성하는 해당 속성값에 의해 정의됨).

세부사항

다음 두 개의 시나리오는 그룹화 키의 중요성을 설명합니다.

시나리오 1:
DB2down 이벤트와 DB2up 이벤트의 두 개의 이벤트가 발생합니다. DB2® 프로그램은 A, B 및 C라는 세 대의 컴퓨터에서 실행됩니다. DB2down 이벤트를 DB2up 이벤트에 연관시키고 DB2 프로그램이 중지된 후 다시 시작되지 않으면 운영자에게 경보를 보내는 연속 규칙이 정의되어 있습니다.

연속 규칙이 그룹화 키 없이 정의되어 있고 컴퓨터 A로부터 DB2down 이벤트를 받은 경우, 다른 컴퓨터로부터 받은 DB2up 이벤트의 순서는 완료되지만 이 작업은 계획대로 수행되지 않습니다. 그러나 그룹화 키가 호스트 이름 속성으로 정의된 경우 규칙의 고유 사본 또는 인스턴스는 선택된 이벤트의 호스트 이름 속성의 고유값마다 작성됩니다. ACT(Active Correlation Technology) 엔진은 각 이벤트를 올바른 규칙 인스턴스(해당 이벤트의 호스트 이름 값의 규칙 인스턴스)로 보냅니다. 그러므로 컴퓨터 A로부터 DB2down 이벤트를 받으면 ACT(Active Correlation Technology) 엔진은 컴퓨터 A의 규칙 인스턴스를 작성합니다. 컴퓨터 B로부터 DB2down 이벤트를 받으면 ACT(Active Correlation Technology) 엔진은 컴퓨터 B의 두 번째 규칙 인스턴스를 작성합니다. 컴퓨터 B로부터 DB2up 이벤트를 받으면 ACT(Active Correlation Technology) 엔진은 두 번째 규칙 인스턴스에서 해당 이벤트를 처리합니다. 컴퓨터 B로부터의 DB2down 및 DB2up 이벤트가 올바르게 연관되지 않았으므로 순서가 완료되고 운영자는 경보를 받습니다.

시나리오 2:
특정 환경에 있는 모든 컴퓨터에서 Incorrect login attempted 메시지의 이벤트가 발생합니다. 이벤트에는 사용자 ID가 포함되어 있습니다. 임계값 규칙은 이 이벤트가 5분안에 10차례 넘게 발생한 경우 운영자에게 경고를 발행하도록 정의되어 있습니다.

그룹화 키는 사용자 ID로서 정의될 수 있습니다. 그런 다음 각 고유 사용자 ID마다 새 규칙 인스턴스가 작성됩니다. 각 사용자의 로그인 시도는 각 인스턴스가 해당 사용자의 로그인 시도 횟수를 별도로 카운트하여 고유 임계값 규칙 인스턴스에서 추적됩니다. 사용자 ID가 5분 동안 10회의 잘못된 로그인 횟수를 넘으면 운영자는 경고를 받게 됩니다.

이 개념의 다른 변수는 다음과 같습니다.
  • 그룹화 키는 사용자 ID가 아닌 호스트 이름으로서 정의될 수 있습니다. 이 옵션은 단일 컴퓨터에서 대량의 잘못된 로그인 시도를 발견할 수 있습니다.
  • 그룹화 키는 호스트 이름 및 사용자 ID의 조합으로 정의될 수도 있습니다. 이 옵션은 특정 컴퓨터에 대한 특정 사용자 ID의 잠재적인 해킹 시도를 발견할 수 있습니다.

규칙에 지정된 모든 이벤트 유형에 동일한 속성이 있으면 <attributeName> 요소를 사용하는 것이 그룹화 키를 정의하기 위한 가장 단순하고 일반적인 방법입니다.

속성

<groupingKey>에는 다음 속성이 있습니다.

표 1. <groupingKey> 요소의 속성
이름 설명 데이터 유형 필수 여부
missingAttributeHandling 규칙이 다음과 같은 조건에서 수행해야 하는 조치를 정의합니다.
  • 선택한 이벤트에 그룹화 키에 참여하는 속성이 있지만 해당 속성값이 누락된 경우.
  • <computedValue> 요소의 표현식이 널값을 리턴하는 경우. 규칙은 이 널값을 누락된 속성값으로 취급합니다.
missingAttributeHandling 속성의 올바른 값은 다음과 같습니다.
  • ignoreEvent(기본값) - 규칙이 이벤트를 무시하고 아무런 조치를 취하지 않음을 의미합니다.
  • ignoreAttribute - 규칙이 이벤트를 승인하지만 값이 누락된 속성을 무시함을 의미합니다. 그러면 ACT(Active Correlation Technology) 엔진에는 속성의 대체값이 포함됩니다.
xsd:string 아니오

포함 위치

<groupingKey>는 다음 요소 내에 포함되어 있습니다.

포함 요소

<groupingKey>에는 다음 요소가 포함되어 있습니다.

표 2. <groupingKey> 요소 내에 포함된 요소
요소 필수 또는 선택적 여부
<attributeAlias> 이러한 요소 중 하나는 필수입니다. 이러한 요소를 둘 이상 코딩하는 것은 선택적입니다. 세 요소 모두 여러 번 발생이 허용됩니다. 이러한 요소는 어떤 순서로든지 코딩될 수 있습니다.
<attributeName>
<computedValue>