Триггеры события

Триггер события активирует тревогу, когда возникает определенное событие контекста и оно удовлетворяет условиям, обозначенным в настройках триггера. Данное событие может быть сформировано самим AggreGate Server или может исходить из терминала данных.

Свойства триггеров события описаны здесь. Каждый триггер заставляет AggreGate Server "слушать" событие, определенное настройкой Событие в каждом контексте, соответствующем настройке Маска Контекста. При обнаружении такого события сервер вычисляет выражение, определенное настройкой Выражение. Данное выражение обычно ссылается на данные, относящиеся к событию, но оно также может ссылаться на другие данные, такие как значения контекстных переменных.

Если параметр Выражение не определен, каждое наступление события активирует тревогу.

Пример триггеров события: Предположим мы запускаем систему мониторинга транспорта, которая имеет Device на различных транспортных средствах предприятия. Данные Device создают события, такие как событие удар, которое формируется, если транспортное средство ударяется или разбивается о что-либо. Таким образом, Маска контекста будет соответствовать Device, контролирующему транспортное средство, появится событие удар, и мы также можем получить выражение, относящееся к полю сила события удар, которое приведет к активации триггера, если сила удара превысит заданное значение. В данном случае параметры триггера события будут следующими: (Конечно, удар и сила являются всего лишь теоретическими событиями, отправляемыми некоторыми составными Device - они не являются встроенными системными событиями AggreGate Server).

Пример выражения триггеров события: contains({message}, "FAILED LOGIN") &&  {facility} == 4 && {level} == 5 Это выражение активирует тревогу, если получено сообщение от сервера Syslog: Содержит строку FAILED LOGIN Имеет 5ый уровень Генерируется средством Syslog с ID = 4

Параметры триггера Счет и Период работаю в паре, чтобы разрешить активацию триггера, только если событие произошло X раз в течение последних Y секунд.

Если Счет установлен на 1 (по умолчанию), любое событие, соответствующее Выражению триггера, приведет к активации триггера и тревоги. Если Счет установлен на 3 и Период равен 10 минутам, триггер будет активирован при возникновении события, если два предыдущих его возникновения произошли не более 10 минут назад и все три возникновения соответствуют Выражению.

Пример: Представим, что мы мониторим несколько серверов в сети. Одно событие "Аутентификация не состоялась", полученное от сервера, не определяет проблему, поскольку пользователь, возможно, просто опечатался, набирая пароль. Однако множественные события, полученные от одного сервера в течение 10 минут, должны отправить тревогу о нарушениии защиты. Вот необходимая настройка триггера события для этого случая:

Связь событий является техникой для упорядочения огромного количества событий и выявления некоторых из них, действительно важных среди все этой массы информации.

Что касается тревог AggreGate, связь события является способом активировать тревогу триггером события, когда возникает одно ("основное") событие, и деактивировать тревогу при другом ("связанным") событии.

Чтобы включить связь событий для определенного триггера события, задайте имя в поле Деактивирующее событие в настройках триггера. В данном случае:

• Триггер события (как и сама тревога) будет активирован событием, указанным в настройке Событие (которое будет является "основным" в данном случае).

• Он будет деактивирован, если Деактивирующее событие происходит в том же контексте, что активирующее Событие, и Выражение деактивации является TRUE. Может быть так, что возникает Деактивирующее событие, но Выражение деактивации является FALSE, таким образом, триггер остается активированным.

Как только триггер был активирован, он переводит тревогу в состояние Активен и добавляет Активный экземпляр.

На приведенной далее схеме изображен процесс активации/деактивации триггера события основными и связанными событиями:

Настройки Счет и Период также применяются к коррелированным событиям. Например, если Счет установлен на 5, а Период - на 1 минуту, триггер деактивируется, только если пять событий заданных в поле Деактивирующее событие возникают в течение одной минуты и все пять Выражение деактивации являются TRUE.

Примеры триггеров событий с использованием корреляции событий: Иногда нам может потребоваться посмотреть тревогу в списке активных тревог, когда определенное устройство находится офлайн (недоступно для AggreGate Server). Предположим, что мы имеем события Подключение и Отключение в контексте Device,  мы можем использовать следующие настройки триггера, чтобы принудительно оставить тревогу активной, когда устройство отключено:

Вдобавок к выражению тревоги Сообщение каждый триггер события имеет собственное выражение Сообщение Триггера. Это выражение преобразуется в строку, когда появляется тревога. Строка-результат становится частью События тревоги, сохраняя любую пользовательскую информацию о причине тревоги или других обстоятельствах.

Пример выражения сообщения триггера события: 'Device-provided custom SNMP trap field:' + cell({variableBindings}, "myMIBDataField") Это выражение можно использовать для вставки значения определенной пользовательской привязки  переменной SNMP-ловушки в тревогу. Это выражение сначала ссылается на вложенную таблицу SNMP-ловушки таблица данных события, используя ссылку {variableBindings}, затем извлекает значение поля myMIBDataField из первой строки таблицы.