Un déclencheur d'incident est un événement ou une séquence d'événements qui peut déclencher un incident. Le Moteur de règles Genetec Mission Control™ cherche des combinaisons particulières d'événements (type, heure, corrélation et fréquence) au sein du système afin de déterminer si un incident doit être déclenché.
Le déclencheur d'incident est défini par les énoncés suivants :
- Chaque déclencheur d'incident caractérise un type d'incident (les types d'incident n'ont pas tous un déclencheur car tous les incidents ne peuvent pas être détectés automatiquement par le système).
- Chaque déclencheur d'incident est défini par une séquence de règles qualifiant un événement.
- Chaque règle qualifiant un événement est définie par un ou plusieurs qualificateurs d'événement.
- Chaque qualificateur d'événement est défini par un type d'événement et une source d'événement.
- Vous pouvez ajouter les contraintes de corrélation d'événement suivantes à une règle qualifiant un événement :
- Occurrence
- Les événements définis dans la règle doivent se produire n fois. La survenue d'un événement qui se qualifie, compte pour le total d'occurrences de l'événement.
- Intervalle
- Cette contrainte peut être appliquée de l'une des manières suivantes :
- Utilisée avec la contrainte Occurrence, vous pouvez définir la période pendant la quelle les n occurrences d'événements qualifiés doivent se produire.
- Utilisée sans la contrainte Occurrence, vous pouvez définir le temps écoulé maximal entre la satisfaction d'une règle précédente et celle de la règle en cours. Cela n'est applicable que si la règle précédente utilise la contrainte Intervalle. Une règle précédente est liée à la règle actuelle par la contrainte Intervalle en spécifiant l'événement qui a satisfait la règle précédente (exemple : « Moins de <x> secondes après <événement> »). Si la contrainte Intervalle est désactivée, cela ne s'applique pas.
- Filtrage des événements
- Deux contraintes de corrélation d'événement sont disponibles :
- Aucun autre événement ne se produit à la source
- Aucun événement autre que les événements qualifiant spécifiés dans la règle ne peut se produire à la même source pendant la période indiquée. Par exemple, si le qualificateur de l'événement spécifie que Accès refusé à la porte A doit se produire trois fois en 30 secondes sans que ne se produise un autre événement à la source, alors l'événement Accès autorisé à la porte A avant 30 secondes est terminé, ce qui réinitialise le nombre d'occurrences. Toutefois, une occurrence de l'événement Accès autorisé à la porte B n'a aucun effet.
- Ces événements spécifiques peuvent se produire à la source
- Aucun événement autre que les événements qualifiant spécifiés dans la règle et ceux qui sont répertoriés ici, ne peut se produire à la même source pendant la période indiquée.