# Сегментация правил корреляции

По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на основе таких однотипных корреляционных событий будут создаваться разные алерты.

<p class="callout info">Порядок применения правил сегментации соответсвует порядку правил сегментации созданным в интерфейсе KUMA (могут примениться и несколько сегментаций, если сработка правила корреляции соответствует нескольким правилам сегментации)</p>

Блок-схема работы сегментации (спасибо за наработку интегратору):

[![ssegm2.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/scaled-1680-/ssegm2.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-01/ssegm2.png)

Пример работы, есть правило корреляции, которое срабатывает на событие с полем Code равное "777" с разными значениями SourceUserName, все сработки правила складываются в один Алерт, мы хотим создать отдельные алерты для отдельных пользователей:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/gTvimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/gTvimage.png)

Для этог онужно создать правило сегментации ипривязать его к правилу корреляции. Перейдите в **Ресурсы - Правила сегментации** и нажмите на кнопку **Добавить правило сегментации**. В нашем случае подойдет тип **По группирующим полям**:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/Zpyimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/Zpyimage.png)

Указываем свой шаблон именования и группирующее поле - используем поля имени пользователя и **Сохраняем**:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/4cDimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/4cDimage.png)

Далее необходимо привязать правило сегментации к нашему правилу корреляции. Это делается в **Параметры - Алерты - вкладка Сегментация**. Выбираем необходимый тенант, нажимаем кнопку Добавить, Указываем название, Выбираем правило корреляции и добавлем правило сегментации, затем на каждом шаге все **Сохраняем**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/3DXimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/3DXimage.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/me5image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/me5image.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/tv2image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/tv2image.png)

По итогу, при появлении событий удовлетворяющих правилу корреляции мы получим отдельные алерты на основе SourceUserName.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/scaled-1680-/v2aimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-09/v2aimage.png)

Аналогичным образом можно использовать и другие типы правил сегментации.