Процессор Детектор инцидентов используется для определения того, что полученная запись события удовлетворяет некоторому условию, и инцидент должен быть открыт. Инциденты определяют, где возникло условие и, возможно, продолжительность условия. Например, если вы работаете с потоком данных, сообщающих о местоположениях транспортных средств и их текущей скорости, этот процессор можно использовать для открытия инцидента, когда транспортное средство превышает определенную скорость, или когда местоположение транспортного средства пересекает область интереса (геозону). По мере получения обновлений для местоположения и скорости отслеживаемого транспортного средства GeoEvent Server будет обновлять информацию о текущем инциденте; этот инцидент будет закрыт, как только будет получена запись о событии, указывающая на то, что транспортное средство больше не движется или больше не находится в области интереса (геозоны).
Примеры
Ниже приведен пример использования процессора Детектор инцидентов:
- Процессор может использоваться для контроля парка транспортных средств на предмет превышения ими скоростного режима. Если транспортные средства превышают определенную скорость, может возникнуть инцидент, который указывает, когда и где началось превышение скорости. Процессор может быть сконфигурирован так, чтобы сообщать о моментах возникновения инцидентов превышения скорости или о совокупном (текущем) событии, заканчивающемся, когда транспортное средство перестает превышать заданный скоростной режим. Последний может предоставить информацию о том, как долго продолжался инцидент с превышением скорости.
- Процессор может использоваться для мониторинга аварийных служб в полевых условиях. По мере того как машины скорой помощи покидают назначенную им зону обслуживания (геозону), могут возникать инциденты, указывающие на их отъезд. Эти инциденты могут затем быть обработаны диспетчером или операционным центром. Те же самые инциденты могут также использоваться для уведомления других аварийных служб о разрывах покрытия.
Примечания по использованию
При работе с процессором Детектор инцидентов имейте в виду следующее:
- Варианты использования обнаружения инцидентов не следует путать с фильтрацией. Обнаружение инцидентов активно сохраняет состояние каждого инцидента в памяти и изменяет схему событий по мере того, как они происходят.
- Структура (или схема) записей событий, отсылаемых процессором, соответствуют определению GeoEvent инцидента, созданному при установке GeoEvent Server. Схема определения GeoEvent инцидента показана ниже.
- Если у параметра Сохранять исходные поля будет значение Да, эта схема сохранит исходные поля событий и добавит поля инцидентов ниже. Это новое определение GeoEvent может содержать несколько полей геометрии. Имена полей событий-первоисточников будут изменены, чтобы избежать конфликтов именования с именами полей в схеме инцидента. Теги GeoEvent Server, в частности TRACK_ID, TIME_START и GEOMETRY будут перемещены из атрибутивных полей источников в атрибутивные поля инцидентов, как описано ниже.
Имя поля | Описание | Тип данных |
---|---|---|
id | Уникальный идентификатор (GUID), созданный процессором для каждого нового инцидента. | String |
name | Неуникальное имя, выбранное при настройке процессора для описания инцидентов, созданных процессором. | String |
type | Тип инцидента - Точка во времени или Кумулятивный. | String |
status | Статус инцидента - Запущено, Текущее или Завершено. | String |
alertType | Тип оповещения об инциденте - Уведомление, Предупреждение или Срочное сообщение. | String |
openCondition | Логическое условие, которое, когда оно наблюдается, инициирует создание нового или обновление существующего инцидента. | String |
closeCondition | Логическое условие, которое, когда оно наблюдается, инициирует закрытие существующего инцидента. Если оно не указано, то условие закрытия считается логическим отрицанием условия открытия. | String |
description | Описание состояния инцидента, даты и времени произошедшего, даты и времени начала или продолжительности (в секундах), созданных процессором. | String |
timestamp | Дата и время начала инцидента или его последнего обновления. Значение выражается в виде длинного целого числа в миллисекундах от начала эпохи. Тег TIME_START применяется к этому полю. | Дата |
definitionName | Имя определения GeoEvent, связанного с записью события, запись которого создала инцидент. | String |
definitionOwner | Владелец определения GeoEvent, связанного с записью события, запись которого создала инцидент. | String |
trackId | Значение, использующееся для уникальной идентификации отслеживаемого оборудования. У записей событий, отправленных на процессор Детектор инцидентов, должно быть поле с тегом Track ID. Тег TRACK_ID применяется к этому полю для инцидентов, испускаемых процессорами. | String |
geometry | Точечная, мультиточечная или полилинейная геометрия, связанная с выходными данными инцидента процессора. Тег GEOMETRY применяется к этому полю. Промежуточные вершины не сохраняются, если тип выходной геометрии - точка. Если выбран тип выходной геометрии - мультиточка или полилиния, то для непрерывных инцидентов добавляются промежуточные вершины. | Геометрия |
duration | Число миллисекунд, в течение которых имеет место накопительный инцидент. Это значение обновляется только при получении новых наблюдений. Длительность инцидента в определенный момент времени всегда будет равна нулю. | Long |
dismissed | Переключатель, установленный в положение false, указывает, что инцидент не был отклонен. Для изменения этого значения атрибута можно использовать Процессор Калькулятор полей, но Процессор Детектор инцидентов изменит значение атрибута на false для всех инцидентов, испускаемых процессором. | Boolean |
assignedTo | Значение, используемое для указания пользователя или оператора, которому назначен инцидент. Для изменения этого значения атрибута можно использовать Процессор Детектор инцидентов, но процессор Детектор инцидентов меняет значение атрибута на пустую строку, когда обновленные инциденты испускаются процессором. | String |
note | Значение, используемое для записи информации о пользователе или операторе, котором назначен инцидент. Для изменения этого значения атрибута можно использовать Процессор Детектор инцидентов, но процессор Детектор инцидентов меняет значение атрибута на пустую строку, когда обновленные инциденты испускаются процессором. | String |
- Процессор Детектор инцидентов использует задаваемые атрибутивные или пространственные условия для выявления инцидентов, создания новых и обновления текущих инцидентов. TRACK_ID записи события используется для уникальной идентификации отслеживаемого оборудования и определяет, может ли быть обновлен существующий инцидент или должен быть создан новый.
- Инциденты типа Момент времени немедленно закрываются и никогда не переходят в состояния Запущено или Текущее ни на какой период времени. Длительность инцидента Момент времени всегда будет равна нулю.
- Инциденты типа Кумулятивный обычно закрываются только при получении записи о событии, которая удовлетворяет условию закрытия. Инциденты в состояниях Запущено или Текущее могут быть закрыты в административном порядке, если в течение определенного периода времени не было получено ни одной записи события, связанной с инцидентом. См. параметр Время истечения (в секундах) ниже.
- Инциденты в состоянии Запущено или Текущее будут закрыты в административном порядке, если будет активно управляться более определенного количества открытых инцидентов. Для получения дополнительной информации см. глобальную настройку Максимальное число открытых инцидентов в разделе Управление глобальными настройками.
- Параметр Время истечения (в секундах) определяет, как долго процессор должен ждать получения обновления для отслеживаемого объекта, прежде чем запущенный или текущий инцидент, связанный с этим объектом, будет закрыт в административном порядке. Инциденты истекают и переходят в состояние «завершено», даже если записи о событиях, удовлетворяющих условию закрытия, не были получены, если обновление от отслеживаемого актива не было получено до того, как время истечения достигнет нуля.
- Если для параметра Время истечения (в секундах) задано значение 0, автоматическое истечение срока действия процессора отключается. Например, открытый инцидент останется в запущенном или работающем состоянии, если у менеджера инцидентов есть место в кэше открытых инцидентов. Однако длительность инцидента будет обновляться только тогда, когда будет получена последующая запись события, которая удовлетворяет условию открытия, что инициирует менеджер инцидентов на обновление инцидента.
- Должен быть указан параметр Условие открытия. Если он не задан, необязательный параметр Условие закрытия по умолчанию будет логическим отрицанием условия открытия.
- Условия открытия и закрытия могут указывать условие на основе атрибутов а также пространственное отношение с геозоной. Работая как фильтр, если данные, связанные с полученной записью события, будут удовлетворять заданному выражению, процессор воспримет это как True и либо откроет новый инцидент, либо обновит существующий инцидент, или закроет существующий инцидент (когда условием закрытия будет значение True).
- Условие закрытия не обязательно должно быть логической противоположностью условию открытия. Например, может быть открыт инцидент, если высота воздушного судна становится меньшей определенного порогового значения, и наоборот, инцидент может быть закрыт, когда летательный аппарат находится внутри определенной геозоны (например в случае его прибытия к гейту аэропорта), вместо того чтобы требовать, чтобы самолет поднялся выше указанного значения, чтобы закрыть инцидент.
- При начальном создании инцидента его статус будет Запущено. Когда запись последующего события направляется в процессор, который удовлетворяет условию открытия, статус инцидента изменится с Запущено на Действует. Инцидент будет оставаться в этом состоянии до его закрытия либо потому, что получена запись события, удовлетворяющая условию закрытия, либо из-за того, что инцидент закрыт в административном порядке. Статусу закрытого инцидента присваивается значение Завершено.
- Каждый инцидент, сгенерированный процессором, имеет связанную геометрию. Тип геометрии указывается при настройке процессора. Процессор обычно настроен на отсылку точечной геометрии для моделирования инцидента как возникшего в определенном месте в определенное время. Он также может пригодиться при работе с инцидентами с типом Кумулятивный для настройки процессора сбора вершин и выходных данных обновленной мультиточечной или полилинейной геометрии. Если для параметра Сохранять исходные поля будет установлено значение Да, то и инцидент также будет включать в себя поле геометрии исходного события.
Параметры
Ниже приведены параметры для процессора Детектор инцидентов:
Параметр | Описание |
---|---|
Имя |
Описательное имя процессора, используемое для справочной информации в GeoEvent Manager. |
Процессор |
Указывает выбранный процессор. |
Имя инцидента | Описательное имя для инцидентов, созданных процессором. Процессор добавит имя инцидента в поле name записи инцидента. Значения не обязательно должны быть уникальными. Например, можно настроить процессор для обнаружения инцидентов превышения транспортными средствами скорости. Каждое транспортное средство, у которого было замечено превышение скорости, будет формировать запись об инциденте, описательное имя которого может быть строковым значением Speeding Vehicle. Примечание:Имя инцидента может быть задано значением в поле. Например, если запись события содержит поле GeoTags из Процессора GeoTagger, ${GeoTags} можно задавать как имя инцидента. Это присвоит инциденту имя геозоны, которая потенциально могла использоваться для открытия инцидента. |
Условие открытия | Условие открытия, которое должно быть выполнено для создания нового инцидент или обновления существующего. Условие открытия может быть указано с помощью атрибута или пространственных операторов. См. пример ниже:
Примечание:Для получения дополнительной информации об операторах пространственных отношений и о том, как построить атрибутивные и пространственные выражения, используемые для открытия и закрытия условий, см. раздел Введение в фильтры. |
Условие закрытия | Условие, используемое для закрытия или завершения инцидентов. Условие закрытия может быть указано с помощью пространственных и атрибутивных операторов. Если условие закрытия не задано, то оно считается логической противоположностью условию открытия. См. пример ниже:
Примечание:Для получения дополнительной информации об операторах пространственных отношений и о том, как построить атрибутивные и пространственные выражения, используемые для открытия и закрытия условий, см. раздел Введение в фильтры. |
Важность | Уровень важности, связанный с типом инцидента. Инциденты ограничены одним уровнем важности. Уровень важности записывается в поле alertType как часть схемы инцидента. Доступны следующие уровни важности: уведомление, предупреждение и срочное сообщение. Примечание:Чтобы изменить уровень важности, связанный с инцидентами, процессор должен быть отредактирован, а сервис GeoEvent - заново опубликован. |
Тип инцидента | Тип инцидента, созданного процессором. Доступны следующие типы инцидентов: Кумулятивный и Момент времени. Тип инцидента записывается в поле type как часть схемы инцидента. По умолчанию это Кумулятивный.
|
Тип геометрии | Тип геометрии инцидентов, созданных процессором. Существуют следующие типы геометрии для записей инцидентов: Точка, Мультиточка и Полилиния. Используемое по умолчанию значение – Точка. Процессор обычно настраивается на связывание точечной геометрии с инцидентами, которые он создает, для моделирования инцидента как возникшего в определенном местоположении в определенное время. У процессора, для которого задан Момент времени, на выходе должна быть точечная геометрия. Процессор, для которого задана опция Непрерывный, может собирать несколько точек или местоположений с течением времени и использовать их в качестве вершин для обновления мультиточечной и полилинейной геометрии. |
Длительность действия (в секундах) | Промежуток времени в секундах, в течение которого инцидент может существовать в состояниях Запущено и Действует без получения обновления, до того, как этот инцидент истечет и будет закрыт. Процессор посчитает инцидент истекшим, только если запись о событии, удовлетворяющая условию открытия, не будет получена до того, как время его истечения достигнет нуля. Инциденты могут истечь и перейти в состояние Завершено без записи события, удовлетворяющего полученному условию закрытия. Значением по умолчанию является 300 секунд. Примечание:Можно указать нулевое значение (0) для параметра Время истечения (в секундах), чтобы отключить автоматическое истечение срока действия для инцидентов. Хотя инциденты с такой настройкой завершаться не будут, их продолжительность также не будет обновляться, поскольку для этого требуется непрерывный поток записей, получаемых процессором событий, удовлетворяющих условию открытия. |
Сохранить поля источника | Указывает, будут ли исходные поля источника добавлены к исходящему инциденту события.
|
Имя суффикса выходного определения GeoEvent |
Если для параметра Сохранять исходные поля будет установлено значение Да, то будет создана копия определения GeoEvent входящего события, а к исходному имени определения будет добавлен этот суффикс. Исходное имя и суффикс буду разделены знаком дефиса (-). |
Советы и ограничения
При использовании процессора Детектор инцидентов нужно иметь в виду следующее:
- Инциденты, отслеживаемые процессором Детектор инцидентов, должны быть кратковременными; он не предназначен для обнаружения или мониторинга продолжительных по времени инцидентов.
- Если для параметра Сохранять исходные поля установлено значение Нет, то записи событий, созданные процессором, будут связаны с определением GeoEvent этого инцидента; схема или структура записи события, полученные процессором, учитываться не будут.
- Чтобы дополнить запись события инцидента данными из исходной схемы записи входящей записи события, установите для параметра Сохранить исходные поля значение Да и укажите имя суффикса для нового имени определений GeoEvent.
- В некоторых случаях, в частности, когда такие уведомления, как Отправить электронное письмо или Отправить текстовое сообщение, используются в сервисе GeoEvent, может быть нежелательным постоянное получение уведомления о статусе инцидента «текущий». В поле инцидента status статусом может быть только одно из трех значений: Запущено, Действует или Завершено. Если вы хотите получать уведомления только тогда, когда инцидент появляется и завершается, воспользуйтесь фильтром атрибутов, который отбросит записи об инцидентах, отправленные процессором Детектор инцидентов со статусом status Действует.
- Учитывайте скорость записи событий и частоту обновлений при задании параметра Время истечения (в секундах). Если записи событий, которые удовлетворяют условию открытия, поступают раз в 10 минут и используется значение по умолчанию времени истечения, равное 5 минутам (300 секундам), инциденты будут постоянно истекать до того, как они будут обновлены. Это приведет к ложным срабатываниям при истечении срока жизни инцидента и к переходу из состояния Запущено в состояние Завершено, минуя состояние Действует. В этом случае продолжительность записей об инцидентах всегда будет равна нулю, поскольку вторая запись события, удовлетворяющая условию открытия, никогда не будет получена до истечения инцидента.