Преагрегация и постагрегация инцидентов
В KOMRAD v4.5 на замену старому механизму агрегации инцидентов, предназначенного для снижения шумов и уменьшения нагрузки, приходят две новых возможности по сокращению количества инцидентов - преагрегация и постагрегация.
Преагрегация
Первый бастион по защите от чрезмерного количества инцидентов из-за неверно созданного правила корреляции - преагрегация. Преагрегация включена в коррелятор и работает следующим образом: когда количество инцидентов в секунду превышает определенный порог, то все инциденты свыше этого порога объединяются в один, и затем регистрируется только этот объединенный инцидент.
Для управления преагрегацией можно манипулировать параметром преагрегации в
конфигурационном файле диспетчера корреляции correlation-dispatcher.yaml
:
Preaggregation: 100
Здесь указывается значение для вышеупомянутого порога. Если значение равно нулю, то преагрегация не активна.
Постагрегация
Постагрегация инцидентов действует во время регистрации инцидентов. Для ее активации при создании директивы в дополнительных настройках нужно включить опцию "Агрегировать инциденты", а затем выставить временное окно и (опционально) максимальное количество инцидентов в одном агрегированном событии.
Когда постагрегация активна, можно выделить несколько сценариев при регистрации инцидента:
- Нет активного агрегирующего окна. В этом случае инцидент регистрируется и становится "базой" для агрегации, а также начинается агрегирующее окно.
- Есть активное агрегирующее окно. Регистрируемый инцидент просто агрегируется вместе с имеющимся базовым инцидентом, при этом его регистрация не происходит.
- Временное окно закрылось либо превышено максимальное количество инцидентов. Обновляется карточка базового инцидента, в ней значения базового инцидента заменяются на значения агрегированного инцидента, а агрегирующее окно закрывается.
Значения в агрегированном инциденте
При пре- и постагрегации агрегирующий инцидент будет содержать в себе все ключи событий и активы, сформировавших составляющие инциденты, дата начала будет равна минимальной дате начала из составляющих инцидентов, дата выявления инцидента - максимальной дате выявления инцидента.
Взаимодействие преагрегации и постагрегации
Стоит заметить, что при наличии преагрегации и постагрегации, имеется одна особенность: так как при регистрации не различаются обычные инциденты и инциденты, сформированные преагрегацией, то при постагрегации действительных "обычных" инцидентов в основе может быть больше, чем указано в максимальном значении инцидентов. Это может проявить себя в том, что, например, когда инциденты состоят из одного события, то результирующий агрегированный инцидент будет иметь больше событий, чем максимальное количество инцидентов.