示例:根据收到其他事件而忽略事件
在以下策略中,如果发生任何 event1event2、、event3或已发生,且event4在过去 600 秒内发生或event5已发生,且event6在过去 800 秒内未发生,则触发策略(event1、event2或event3)的事件将被忽略,这意味着不会创建系统日志消息。
[edit event-options]
policy 1 {
events [ event1 event2 event3 ];
within 600 events [ event4 event5 ];
within 800 not events event6;
then {
ignore;
}
}
有时,在很短的时间内反复生成事件。在这种情况下,多次执行策略是多余的,针对事件的每个实例执行一次。事件抑制允许您忽略在同一事件的另一个实例之后指定时间内发生的事件实例,从而减慢策略的执行速度。
在以下示例中,只有当事件进程在过去 60 秒内未收到另一个事件实例时,才会采取措施。如果在过去 5 秒内收到事件实例,则不会执行策略,并且不会再次创建该事件的系统日志消息。
[edit event-options]
policy dampen-policy {
events event1;
within 60 events event1;
then {
ignore;
}
}
policy policy {
events event1;
then {
... actions ...
}
}