Event Tracking Tables (ETTs, Ereignistabellen) sind Pufferspeicher, die Kombinationen von Attributen speichern. Sie überwachen Traffic-Eigenschaften, um die verhaltensbasierte Korrelation zu ermöglichen.

 

ETTs verfolgen Attributpaare über mehrere Datenströme hinweg nach. Ein Kommunikationsereignis besteht aus einer Kombination aus einem primären Attribut und mehreren sekundären Attributen. Regeln tragen diese Ereignisse in die ETTs ein.
Jeder Eintrag in einer ETT hat einen individuellen Timeout. Deshalb können Änderungen über die Zeit hinweg verfolgt werden und die Einträge können automatisch entfernt werden, wenn der Timeout abgelaufen ist. Regeln können die Tabellen abfragen und prüfen, ob und wie häufig bestimmte Attribute eingetragen sind. Je nachdem ob die Evaluierungsbedingung erfüllt wird, werden weitere Regeln auf den Datenstrom angewendet.

 

Siehe Event Tracking Tables einrichten für ein Beispiel.