La regola di soglia viene definita dallo schema di soglia. Essa raccoglie un gruppo di eventi selezionati in un intervallo di tempo e determina, dopo che è stato ricevuto ogni evento, se viene soddisfatta una condizione di soglia. Essa è una regola stateful.
Lo schema di soglia raccoglie gli eventi in un certo periodo di tempo fino a che non viene soddisfatto un valore di soglia. Il periodo è indicato da una finestra definita dall'elemento <timeWindow> nella lingua della regola.
Questo tipo di soglia può essere utile per un controllo molto semplice del conteggio eventi. Ad esempio, esso risponde alla domanda: "Impostare 5 eventi di errore di collegamento in un minuto?"
ora di ricezione evento + durata di intervallo di tempo per la regola > ora correnteQuando non è presente alcun evento di questo tipo, l'intervallo scorrevole non è in grado di regolare l'ora in alcun modo e l'intervallo termina.
Di conseguenza, è possibile applicare un calcolo complesso per creare (o aggiornare) un valore di soglia calcolato, utilizzando possibilmente i dati salvati da eventi precedenti. Inoltre, il programma di scrittura eventi può impostare il valore di soglia definito indipendentemente dalla logica che calcola il valore di soglia elaborato.
Questo tipo di soglia può essere utile per l'aggregazione e il confronto di un valore con un valore di soglia definito. Ad esempio, può essere utilizzato per calcolare la somma dell'importo delle vendite ad un certo cliente in un dato periodo di tempo e per confrontare questa somma con un valore di soglia definito.
Questa soglia viene definita dall'elemento <computedThreshold>.
Questo tipo di soglia può essere utile per un controllo di una serie di valori. Ad esempio se l'uso CPU deve essere tra 30% e 80% sempre, questa soglia può verificare costantemente che l'uso rimanga all'interno di quell'intervallo.
Questa soglia viene definita dall'elemento <booleanThreshold>.
Se vengono originati 4 eventi di server non raggiungibile dalla stessa sottorete all'interno di un intervallo di tempo di scorrimento di 30 secondi, la regola esegue un'azione per controllare lo stato di un router.