Miss Behavior Events لاگ هایی هستند که از یک رفتار غیر عادی خبر می دهند.
برای مشاهده Miss Behaviour Events در سامانه کورلاگ وارد Knowledge DB شده و از طرق منوی سمت چپ و بخش Event Type مانند تصویر زیر این بخش انتخاب می شود. همچنین تعداد Miss Behaviour Events را نیز می توان مشاهده کرد.
هر event یک source IP به همراه دارد که همانند شکل زیر از طریق CMDB بخش Miss Behaviour IP قابل مشاهده است.
در ادامه پارامترهای اصلی این بخش توضیح داده می شود.
- Calculated Rate : سامانه کورلاگ به طور پویا تعداد لاگ های دریافت شده از گروه Miss Behavior Event را برای هر Source IP محاسبه کرده و میزان تکرار آن را تحت عنوان پارامتری به نام Calculated Rate ذخیره می کند. مقدار این پارامتر می تواند بین 1 تا 10 محاسبه شده و با افزایش لاگ های هر آدرس مبدا میزان Calculated Rate نیز افزایش می یابد. بنابراین اگر تعداد log های مربوط به یک IP خاص از تعداد مشخصی بالاتر رود بر میزان درجه حساسیت آن اضافه شده و بعد از رسیدن به سطح 10 نیز ثابت می ماند.
- Time Stamp Created : زمان محاسبه میزان Calculated Rate برای هر Source IP
