例: 他のイベントの受信に基づくイベントの無視
次のポリシーでは、 event1、 event2、または event3 のいずれかが発生し、過去600 秒以内に event4 または event5 が発生し、 event6 が過去800 秒以内に発生していない場合、ポリシーをトリガーしたイベント(event1、 event2、または event3)は無視され、システムログメッセージは作成されません。
[edit event-options]
policy 1 {
events [ event1 event2 event3 ];
within 600 events [ event4 event5 ];
within 800 not events event6;
then {
ignore;
}
}
イベントが短期間に繰り返し生成されることがあります。この場合、イベントのインスタンスごとに 1 回ずつ、ポリシーを複数回実行することは冗長です。イベント減衰を使用すると、同じイベントの別のインスタンスの後に指定された時間内に発生したイベントのインスタンスを無視することで、ポリシーの実行を遅くすることができます。
次の例では、イベントが発生したプロセスが過去 60 秒以内にイベントの別のインスタンスを受信しなかった場合にのみ、アクションが実行されます。過去 5 秒以内にイベントのインスタンスを受信した場合、ポリシーは実行されず、イベントのシステム ログ メッセージが再度作成されることはありません。
[edit event-options]
policy dampen-policy {
events event1;
within 60 events event1;
then {
ignore;
}
}
policy policy {
events event1;
then {
... actions ...
}
}