Simple Event Correlator – tutorial [07]






poprzedni (06): wypróbujmy regułkę z pliku conf_6 (...)



[07]




przykład:
Przyjrzyjmy się kolejnemu przykładowi, który znaczenie
praktyczne ma małe, ale przyda się nam, żeby lepiej
zrozumieć kolejne kroki.





Zapoznamy się z regułami typu PairWithWindow. Spójrz
na conf_7 – jest to zmodyfikowana wersja conf_6 z poprzedniego punktu:




type=PairWithWindow
ptype=RegExp
pattern=one
desc=first event
action=write -
ptype2=RegExp
pattern2=two
desc2=second event
action2=write -
window=30




Jak widzisz, zmieniliśmy typ z Pair na PairWithWindow,
dodaliśmy też parametr Window. Reguła PairWithWindow
powoduje, że SEC po napotkaniu pierwszego zdarzenie
(wystąpienie w analizowanym logu słowa one) czeka
przez window sekund na drugie zdarzenie. Jeśli
zdarzenie drugie w tym czasie nastąpi, SEC wykona
akcję action2. Jeśli nie – wykonana zostanie akcja
action1.





zadanie:
zgadnij (a raczej przewidź) jakie ostrzeżenia
wyświetli SEC wyposażony w powyższe reguły w reakcji
na poniższe wejście:




one
(40 sekund przerwy)
two
one
two
one
one
one
(10 sekund przerwy)
two




Następnie uruchom SEC i sprawdź, czy twoje przewidywania
były słuszne:




$ sec -conf=conf_7 -input=-





następny (08): wykorzystaj poznane techniki do napisania reguły,
która będzie wszczynać alarm tylko wtedy (...)






start