Elemento groupingKey

In genere ogni regola attiva ha un'istanza della regola o una copia che è in esecuzione nell'engine dell'Active Correlation Technology. Tuttavia, talvolta la stessa regola è necessaria per gruppi diversi di eventi, spesso correlati ai diversi gruppi di risorse. La chiave di raggruppamento è uno o più attributi di evento o parti di attributi di evento, che possono essere utilizzati per separare gli eventi selezionati in gruppi differenti per l'elaborazione univoca come un gruppo. L'elemento <groupingKey> definisce la chiave di raggruppamento per una regola. Lo scopo di <groupingKey> è di indirizzare una regola in modo da creare un'istanza della regola separata (o una sua copia) per ciascun gruppo di eventi che condivide caratteristiche comuni (come definito dai valori degli attributi che comprendono la chiave di raggruppamento).

Dettagli

I seguenti due scenari illustrano l'importanza della chiave di raggruppamento.

Scenario 1:
Si verificano due eventi, un evento DB2down e un evento DB2up. Il programma DB2 viene eseguito su tre computer chiamati A, B e C. Viene definita una regola di sequenza per correlare un evento DB2down con un evento DB2up e per segnalare all'operatore quando il programma DB2 si interrompe e non viene riavviato.

Se la regola di sequenza viene definita senza la chiave di raggruppamento e viene ricevuto un evento DB2down dal computer A, un evento DB2up da qualsiasi computer completerebbe la sequenza, ma ciò non perseguirebbe lo scopo principale. Tuttavia, se la chiave di raggruppamento è stata definita come attributo hostname, verrà creata una copia univoca, o un'istanza, della regola per ciascun valore univoco dell'attributo hostname negli eventi selezionati. l'engine dell'Active Correlation Technology invia ciascun evento all'istanza della regola corretta (l'istanza della regola per il valore hostname dell'evento). Di conseguenza, se un evento DB2down viene ricevuto dal computer A, l'engine dell'Active Correlation Technology crea un'istanza della regola per il computer A. Se un evento DB2down viene ricevuto dal computer B, l'engine dell'Active Correlation Technology crea una seconda istanza della regola per il computer B. Quando viene ricevuto un evento DB2up dal computer B, l'engine dell'Active Correlation Technology elabora quell'evento nella seconda istanza della regola. La sequenza è completa e l'operatore viene avvisato in quanto gli eventi DB2down e DB2up dal computer B vengono correlati correttamente.

Scenario 2:
Si verifica un evento di messaggio di tentativo di collegamento non corretto su tutti i computer in un ambiente particolare. L'evento contiene un ID utente. Viene definita una regola di soglia per emettere un'avvertenza all'operatore, se questo evento si verifica più di 10 volte in 5 minuti.

Una chiave di raggruppamento può essere definita come ID utente. Poi viene creata una nuova istanza della regola per ogni ID utente univoco. Ogni tentativo di collegamento dell'utente viene registrato in un'istanza della regola univoca di soglia con ogni istanza che ha un conto separato del numero di tentativi di collegamento per quell'utente. L'operatore riceve un'avvertenza se ogni ID utente supera 10 collegamenti non corretti in 5 minuti.

Altre variazioni di questo concetto includono:
  • Una chiave di raggruppamento può essere definita come nome host piuttosto che come ID utente. Questa opzione può rilevare un numero esteso di tentativi di collegamento non corretti su un singolo computer.
  • La chiave di raggruppamento può essere definita come combinazione di nome host e ID utente. Questa opzione può rilevare un potenziale tentativo di inserimento illegittimo tramite un ID utente specifico su un computer specifico.

Se lo stesso attributo è in tutti i tipi di evento specificati per una regola, l'uso dell'elemento <attributeName> è il modo più semplice e più comune per definire una chiave di raggruppamento.

Attributi

<groupingKey> ha il seguente attributo:

Tabella 1. Attributi dell'elemento <groupingKey>
Nome Descrizione Tipo dati Obbligatorio
missingAttributeHandling Definisce l'azione che la regola deve intraprendere in ognuna di queste condizioni:
  • Quando un evento selezionato ha un attributo che fa parte della chiave di raggruppamento ma il valore per quell'attributo manca.
  • Quando l'espressione nell'elemento <computedValue> restituisce un valore nullo. La regola tratta questo valore nullo come un valore di attributo mancante.
I valori validi per l'attributo missingAttributeHandling sono:
  • ignoreEvent (valore predefinito), che significa che la regola ignora l'evento e non intraprende alcuna azione.
  • ignoreAttribute, che indica che la regola accetta l'evento ma ignora l'attributo con il valore mancante. l'engine dell'Active Correlation Technology include poi un valore sostituto per l'attributo.
xsd:string No

Contenuto in

<groupingKey> è contenuto nei seguenti elementi:

Contiene

<groupingKey> contiene i seguenti elementi.

Tabella 2. Elementi contenuti nell'elemento <groupingKey>
Elemento Obbligatorio o facoltativo?
<attributeAlias> E' richiesto 1 di questi elementi. E' facoltativo codificare più di 1 di questi elementi. Sono consentite più ricorrenze di tutti e tre gli elementi. Questi elementi possono essere codificati in un ordine qualsiasi.
<attributeName>
<computedValue>