Las reglas de umbral las define el patrón de umbral. Una regla de umbral recoge un grupo de sucesos seleccionados dentro de un intervalo de tiempo y determina, después de recibir cada suceso, si se ha cumplido una condición de umbral. Es una regla con estado.
El patrón de umbral recoge sucesos durante un periodo de tiempo hasta que se llega al valor de umbral. El periodo de tiempo se indica por una ventana de tiempo obligatoria, según define el elemento <timeWindow> en el lenguaje de reglas.
Este tipo de umbral puede resultar útil para un recuento de sucesos muy sencillo. Por ejemplo, puede responder a la pregunta: "¿Han ocurrido 5 sucesos anómalos de inicio de sesión en 1 minuto?"
hora de recepción del suceso + duración del intervalo de tiempo para la regla > hora actualCuando no existe tal suceso, el intervalo modificable no puede ajustar más el tiempo, así que termina.
Por lo tanto, se puede aplicar un cálculo complejo para crear (o actualizar) un valor de umbral calculado, posiblemente utilizando datos guardados de sucesos anteriores, y el creador de reglas puede establecer el valor de umbral definido independientemente de la lógica que calcula el valor de umbral calculado.
Este tipo de umbral puede resultar útil para la agregación y comparación de un valor con el valor de umbral definido. Por ejemplo, se puede utilizar para calcular la suma de la cantidad de ventas en dólares a un cliente determinado durante un determinado periodo de tiempo y para comparar esa suma con un valor de umbral definido.
Este umbral se define por el elemento <computedThreshold>.
Este tipo de umbral puede resultar útil para comprobar un rango de valores. Por ejemplo, si la utilización de la CPU debe estar siempre entre un 30% y un 80%, este umbral puede verificar constantemente que la utilización se mantiene dentro de ese rango.
Este umbral se define por el elemento <booleanThreshold>.
Si se originan más de 4 sucesos de tipo Server unreachable desde la misma subred dentro de un intervalo de tiempo modificable de 30 segundos, la regla ejecuta una acción para comprobar el estado de un direccionador.