臨界值規則是由臨界值型樣來定義。此規則會收集某個時間間隔內的選定事件群組,並判定在收到每個事件之後,是否符合臨界條件。它是有狀態的規則。
臨界值型樣會收集某個時段內的事件,直到符合臨界值為止。時段是由必要的時間範圍來指示, 如規則語言中的 <timeWindow> 元素所定義。
此類型的臨界值可用於非常簡單的事件計數檢查。例如,它可以回答問題:「1 分鐘內是否已發生 5 次登入失敗事件?」
因此,可以套用複式計算來建立 (或更新) 計算的臨界值 (可能使用先前事件中所儲存的資料),因此規則撰寫者可以不依賴計算臨界值的計算邏輯來設定定義的臨界值。
此類型的臨界值可用於將值與定義的臨界值進行合計與比較。例如,您可以使用它來計算某個時段內,某位客戶的銷售金額總計,並將該總額與定義的臨界值進行比較。
此臨界值是由 <computedThreshold> 元素來定義。
此類型的臨界值可用於檢查值的範圍。比方說,如果無論何時 CPU 的使用率都必須介於 30% 至 80% 之間,則此臨界值可能會不斷地驗證使用率是否保持在該範圍之內。
此臨界值是由 <booleanThreshold> 元素來定義。
如果在 30 秒的可調整時間間隔內,同一個子網路中產生 4 個以上的無法存取伺服器事件,則規則會執行動作來檢查路由器的狀態。