Перейти к основному содержимому
Версия: 4.6.X

Преагрегация и постагрегация инцидентов

Для снижения шумов и уменьшения нагрузки в KOMRAD поддерживаются два механизма сокращения количества инцидентов: преагрегация и постагрегация.

Преагрегация

Первый бастион по защите от чрезмерного количества инцидентов из-за неверно созданного правила корреляции - преагрегация. Преагрегация включена в коррелятор и работает следующим образом: когда количество инцидентов в секунду превышает определенный порог, то все инциденты свыше этого порога объединяются в один, и затем регистрируется только этот объединенный инцидент.

Для управления преагрегацией можно манипулировать параметром преагрегации в конфигурационном файле диспетчера корреляции correlation-dispatcher.yaml:

Preaggregation: 100

Здесь указывается значение для вышеупомянутого порога. Если значение равно нулю, то преагрегация не активна.

Постагрегация

Постагрегация инцидентов действует во время регистрации инцидентов. Для ее активации при создании директивы в дополнительных настройках нужно включить опцию "Агрегировать инциденты", а затем выставить временное окно и (опционально) максимальное количество инцидентов в одном агрегированном событии.

Когда постагрегация активна, можно выделить несколько сценариев при регистрации инцидента:

  1. Нет активного агрегирующего окна. В этом случае инцидент регистрируется и становится "базой" для агрегации, а также начинается агрегирующее окно.
  2. Есть активное агрегирующее окно. Регистрируемый инцидент просто агрегируется вместе с имеющимся базовым инцидентом, при этом его регистрация не происходит.
  3. Временное окно закрылось либо превышено максимальное количество инцидентов. Обновляется карточка базового инцидента, в ней значения базового инцидента заменяются на значения агрегированного инцидента, а агрегирующее окно закрывается.

Значения в агрегированном инциденте

При пре- и постагрегации агрегирующий инцидент будет содержать в себе все ключи событий и активы, сформировавших составляющие инциденты, дата начала будет равна минимальной дате начала из составляющих инцидентов, дата выявления инцидента - максимальной дате выявления инцидента.

Взаимодействие преагрегации и постагрегации

Стоит заметить, что при наличии преагрегации и постагрегации, имеется одна особенность: так как при регистрации не различаются обычные инциденты и инциденты, сформированные преагрегацией, то при постагрегации действительных "обычных" инцидентов в основе может быть больше, чем указано в максимальном значении инцидентов. Это может проявить себя в том, что, например, когда инциденты состоят из одного события, то результирующий агрегированный инцидент будет иметь больше событий, чем максимальное количество инцидентов.

Последнее обновление