Правило корреляции "Отсутствие события"

Правило "Отсутствие события" позволяет создавать директивы, которые срабатывают при отсутствии ожидаемых событий в течение заданного временного окна. Это полезно для обнаружения ситуаций, когда определённое событие должно было произойти, но не произошло -- например, отсутствие отчёта системы мониторинга или пропуск регулярного события безопасности.

Принцип работы

Правило "Отсутствие события" работает по принципу таймера:

1. При активации правила запускается таймер с заданным временным окном
2. Если в течение этого окна приходит событие, соответствующее заданным фильтрам, таймер сбрасывается и начинает отсчёт заново
3. Если таймер достигает предела (ни одного подходящего события не поступило) -- корреляция переходит к следующему шагу или завершается успехом
4. После успешного срабатывания таймер текущего шага сбрасывается и процесс начинается заново

Настройка правила

Для настройки правила "Отсутствие события" в конструкторе директив:

1. Откройте интерфейс создания или редактирования директивы
2. Добавьте новый шаг или выберите существующий для редактирования
3. В списке доступных правил выберите Отсутствие события
4. Укажите временное окно -- период ожидания события. Доступные единицы измерения: секунды, минуты, часы
5. Настройте фильтры для определения события, отсутствие которого нужно отслеживать

примечание

Правило "Отсутствие события" может использоваться как начальный шаг директивы. В отличие от стандартного поведения, когда первым шагом директивы является правило "События", шаг "Отсутствие события" может быть первым в цепочке.

Использование в логических блоках

При построении правила корреляции с логическими блоками, соединёнными оператором ИЛИ, учитываются следующие особенности:

• Каждый блок после оператора ИЛИ считается первым в своей ветке логики
• Для таких блоков отображается только параметр Время до предыдущего блока
• Параметр Время после предыдущего блока скрыт, поскольку перед блоком нет другого блока в его ветке

Работа с фильтрами в правиле

При настройке шага "Отсутствие события" доступны два варианта задания фильтра:

Выбор существующего фильтра

1. Выберите опцию Выбрать существующий фильтр
2. Система отобразит список сохранённых фильтров
3. Выберите фильтр из списка и просмотрите его содержимое
4. При необходимости отредактируйте фильтр -- изменённый фильтр будет сохранён как новый, не перезаписывая оригинал
5. Подтвердите выбор

Создание нового фильтра

1. Выберите опцию Создать новый фильтр
2. Введите Название фильтра (обязательное поле)
3. Настройте условия фильтрации, добавив необходимые поля и значения
4. Нажмите кнопку Добавить фильтр

При сохранении нового фильтра система одновременно сохраняет его в общий репозиторий и прикрепляет к текущему шагу директивы.

Пример использования

Типичный сценарий применения правила "Отсутствие события":

Контроль доступности сервера мониторинга. Если сервер мониторинга должен отправлять heartbeat-событие каждые 5 минут, создайте директиву со следующими параметрами:

• Правило: Отсутствие события
• Временное окно: 10 минут (двойной интервал для исключения ложных срабатываний)
• Фильтр: отбор событий по источнику и типу heartbeat

Если в течение 10 минут не поступит ни одного heartbeat-события, директива создаст инцидент, сигнализирующий о возможной недоступности сервера мониторинга.