Обычно системы мониторинга усредняют данные, что может скрывать кратковременные всплески трафика. Мы используем адаптивное семплирование, чтобы показывать все важные атаки.
Для каждого семпла система вычисляет значение по гибридному правилу:
- Если зафиксирован всплеск (трафик превысил порог 95-го перцентиля*), на графике отображается максимальное значение трафика за выбранный период времени, чтобы вы видели максимальную мощность атаки.
- Если трафик в норме, отображается среднее значение — для оценки средней нагрузки на домен в этот период времени.
Таким образом, для каждого семпла определяется, какие данные важно показать: точные пиковые значения для анализа атаки или усредненные для оценки общей нагрузки. Этот подход обеспечивает и объективность общей картины, и детальность при расследовании инцидентов.
*95-й перцентиль — это значение, выше которого находятся только 5% самых высоких показателей трафика за выбранный период.
