例:他のイベントの受信に基づいてイベントを無視する
以下の event1ポリシーでは、 、 、 event2、または event3 のいずれかが発生し event4 、または event5 過去 600 秒以内に発生し event6 、最後の 800 秒以内に発生していない場合、ポリシーをトリガーしたイベント(event1、 、 event2または event3)は無視され、システム ログ メッセージは作成されません。
[edit event-options]
policy 1 {
events [ event1 event2 event3 ];
within 600 events [ event4 event5 ];
within 800 not events event6;
then {
ignore;
}
}
イベントは短期間で繰り返し生成される場合があります。この場合、ポリシーは、イベントのインスタンスごとに 1 回、複数回実行する冗長になっています。イベントダンピングでは、同じイベントの別のインスタンスの後に指定された時間内に発生するイベントのインスタンスを無視することで、ポリシーの実行を遅くすることができます。
次の例では、イベントが発生したプロセスが過去 60 秒以内にイベントの別のインスタンスを受信していない場合にのみ、アクションが実行されます。最後の 5 秒以内にイベントのインスタンスを受信した場合、ポリシーは実行されず、イベントに対するシステム ログ メッセージは再び作成されません。
[edit event-options]
policy dampen-policy {
events event1;
within 60 events event1;
then {
ignore;
}
}
policy policy {
events event1;
then {
... actions ...
}
}