임계값 패턴

임계값 규칙은 임계값 패턴에 의해 정의됩니다. 이는 시간 간격 내에서 선택한 이벤트 그룹을 수집하고 각 이벤트를 받은 후에 임계값 조건에 부합하는지 여부를 판별합니다. 이는 상태 규칙입니다.

개요

임계값 패턴은 특정 기간 동안 임계값에 도달할 때까지 이벤트를 수집합니다. 시간 기간은 <timeWindow> 요소가 규칙 언어로 정의한 대로 필수 시간 창으로 표시됩니다.

임계값 패턴은 임계값 유형에 다음과 같은 세 가지의 옵션을 제공합니다.
이벤트 계수 임계값
이 임계값 유형을 사용하면 특정 기간 동안 이벤트 선택 기준에 부합해야 하는 이벤트 개수를 정의할 수 있습니다. 정의된 임계값은 승인된 이벤트 개수와 비교됩니다. 이벤트 계수가 시간 창 내에서 정의된 한계와 동일하면 임계값에 도달한 것입니다.

이 임계값 유형은 매우 단순한 이벤트 계수 확인에 유용합니다. 예를 들어, 다음과 같은 질문에 응답할 수 있습니다. "1분 내에 다섯 번의 로그인 실패 이벤트가 발생했습니까?"

이 임계값은 <eventCountThreshold> 요소에 의해 정의됩니다. <eventCountThreshold> 요소는 또한 시간 창에서 다음과 같은 두 개의 가능한 시간 간격 모드 중 하나를 지정합니다.
고정 간격
고정 간격은 이벤트 선택 기준에 부합하는 첫 번째 이벤트를 받을 때 시작되고 다음 중 하나가 발생하면 종료됩니다.
  • 규칙이 지정된 지속 기간 내에서 임계값에 도달할 때
  • 지정된 지속 기간이 경과된 경우
슬라이딩 간격
슬라이딩 간격은 이벤트 선택 기준에 부합하는 첫 번째 이벤트를 받을 때 시작됩니다. 그러나 규칙이 임계값에 도달하지 않고 지정된 지속 기간이 경과된 경우, 시간 창은 시작 시간을 새로운 "첫 번째" 이벤트의 시작 시간으로 조정(슬라이드)합니다. 이는 일반적으로 다음 번에 승인되는 이벤트입니다. 슬라이딩 간격은 다음 중 하나가 발생할 때까지 이러한 방법으로 계속해서 조정합니다.
  • 규칙이 지정된 지속 기간 내에서 임계값에 도달할 때
  • 시간 창을 시작한 이벤트를 받은 후에 지정된 지속 기간 내에 후속 이벤트를 받지 않은 경우
시간 창을 시작한 이벤트(새로운 "첫 번째" 이벤트가 됨)는 이 기준에 부합하는 수신 시간이 있는 이벤트입니다. 규칙의 시간 간격 지속 기간에 추가된 수신 시간은 현재 시간 이후입니다. 다음은 방정식 양식으로 된 기준입니다.
event reception time + time interval duration for rule > current time
이러한 이벤트가 없으면 슬라이딩 간격이 더 이상 시간을 조정하지 않고 간격이 종료됩니다.
계산된 임계값
이 임계값 유형을 사용하면 승인된 각 이벤트에 대해 계산을 수행하는 코드를 작성하거나 다른 누군가가 작성한 코드를 사용할 수 있고, 이전에 정의된 변수에 보관된 계산된 임계값을 리턴합니다. 그런 다음 임계값에 도달했는지 여부를 판별하기 위해 이 계산된 임계값을 정의된 임계값과 비교합니다.

그러므로 이전 이벤트에서 저장된 데이터를 사용하여 계산된 임계값을 작성하거나 갱신하기 위해 복잡한 계산을 적용할 수 있으며, 규칙 작성자는 계산된 임계값을 계산하는 논리와 독립적으로 정의된 임계값을 설정할 수 있습니다.

이 임계값 유형은 값의 집합이나 정의된 임계값과의 비교 시에 유용합니다. 예를 들어, 특정 기간 동안 특정 고객에게 판매한 금액의 합계를 계산하고 이 합계를 정의된 임계값과 비교하는 데 사용할 수 있습니다.

이 임계값은 <computedThreshold> 요소에 의해 정의됩니다.

부울 임계값
이 임계값 유형을 사용하면 승인된 각 이벤트에 대해 true 또는 false 값을 리턴하는 코드를 작성하거나 다른 누군가가 작성한 코드를 사용할 수 있습니다. 값이 true이면 임계값에 도달한 것입니다. 값이 false이면 임계값 규칙은 기간이 종료될 때까지 또는 다른 이벤트를 승인할 때까지 계속해서 처리합니다.

이 임계값 유형은 값의 범위를 확인하는 데 유용합니다. 예를 들어, CPU 활용도가 항상 30% - 80% 사이여야 하면 이 임계값은 활용도가 해당 범위에 있는지를 지속적으로 확인할 수 있습니다.

이 임계값은 <booleanThreshold> 요소에 의해 정의됩니다.

규칙 응답 실행 조건

임계값 패턴을 사용하면 규칙 응답은 다음과 같은 시간에 실행됩니다.
  • <onDetection> 요소에 의해 정의된 대로 임계값에 도달한 경우.
  • <onTimeOut> 요소에 의해 정의된 대로 하나 이상의 이벤트가 승인되었지만 시간 창 내에서 임계값에 도달하지 않은 경우.

이 규칙 패턴의 사용 예제

이벤트 계수 임계값이 있는 임계값 패턴의 사용 예제는 다음을 수행하는 규칙입니다.
30초의 슬라이딩 시간 간격 내에서 동일한 서브네트워크에서 다섯 개 이상의 Server unreachable 이벤트가 시작되면 규칙은 라우터의 상태를 확인하기 위해 조치를 실행합니다.
관련 참조
임계값 규칙 요약