Я пытаюсь создать систему CEP с Apache Flink для корреляции событий. Одно из требований - иметь возможность добавлять новые шаблоны для обнаружения аномалий во время выполнения без потери доступности системы. Любые идеи о том, как я могу это сделать?
Например, если у меня есть поток событий безопасности (например, доступы, аутентификации) и шаблон для обнаружения аномалий (например,> 10 входов в систему на одном компьютере за 1 минуту), я хотел бы иметь возможность изменить параметры шаблона, например вместо 10 логинов, может быть, я хотел бы 8, и я хотел бы в то же время иметь возможность создавать другие шаблоны (поддерживающие тот же поток) для обнаружения нового типа аномалии без потери событий / доступности системы.
С Уважением.