Версия: 4.5.X

Преагрегация и постагрегация инцидентов

В KOMRAD v4.5 на замену старому механизму агрегации инцидентов, предназначенного для снижения шумов и уменьшения нагрузки, приходят две новых возможности по сокращению количества инцидентов - преагрегация и постагрегация.

Преагрегация

Первый бастион по защите от чрезмерного количества инцидентов из-за неверно созданного правила корреляции - преагрегация. Преагрегация включена в коррелятор и работает следующим образом: когда количество инцидентов в секунду превышает определенный порог, то все инциденты свыше этого порога объединяются в один, и затем регистрируется только этот объединенный инцидент.

Для управления преагрегацией можно манипулировать параметром преагрегации в конфигурационном файле диспетчера корреляции correlation-dispatcher.yaml:

Preaggregation: 100

Здесь указывается значение для вышеупомянутого порога. Если значение равно нулю, то преагрегация не активна.

Постагрегация

Постагрегация инцидентов действует во время регистрации инцидентов. Для ее активации при создании директивы в дополнительных настройках нужно включить опцию "Агрегировать инциденты", а затем выставить временное окно и (опционально) максимальное количество инцидентов в одном агрегированном событии.

Когда постагрегация активна, можно выделить несколько сценариев при регистрации инцидента:

Нет активного агрегирующего окна. В этом случае инцидент регистрируется и становится "базой" для агрегации, а также начинается агрегирующее окно.
Есть активное агрегирующее окно. Регистрируемый инцидент просто агрегируется вместе с имеющимся базовым инцидентом, при этом его регистрация не происходит.
Временное окно закрылось либо превышено максимальное количество инцидентов. Обновляется карточка базового инцидента, в ней значения базового инцидента заменяются на значения агрегированного инцидента, а агрегирующее окно закрывается.

Значения в агрегированном инциденте

При пре- и постагрегации агрегирующий инцидент будет содержать в себе все ключи событий и активы, сформировавших составляющие инциденты, дата начала будет равна минимальной дате начала из составляющих инцидентов, дата выявления инцидента - максимальной дате выявления инцидента.

Взаимодействие преагрегации и постагрегации

Стоит заметить, что при наличии преагрегации и постагрегации, имеется одна особенность: так как при регистрации не различаются обычные инциденты и инциденты, сформированные преагрегацией, то при постагрегации действительных "обычных" инцидентов в основе может быть больше, чем указано в максимальном значении инцидентов. Это может проявить себя в том, что, например, когда инциденты состоят из одного события, то результирующий агрегированный инцидент будет иметь больше событий, чем максимальное количество инцидентов.