L'elemento <eventSelector> definisce gli eventi selezionati per l'elaborazione da parte di una regola.
Se non si codifica un elemento <eventType> le prestazioni possono risentirne in modo negativo.
Presumere il caso in cui si selezionano tutti gli eventi del tipo Audit Failure. E' possibile utilizzare un predicato di filtro per restringere i criteri di scelta in modo da includere solo gli eventi che presentano un attributo di evento con un certo valore. Codificare, ad esempio, un elemento <eventType> per selezionare tutti gli eventi del tipo Audit Failure e codificare un elemento <filteringPredicate> per selezionare solo quegli eventi che hanno un attributo hostname con il valore MyCriticalSystem.
<eventSelector> ha il seguente attributo:
Nome | Descrizione | Tipo dati | Obbligatorio |
---|---|---|---|
alias | Questo attributo è valido solo all'interno di una regola di sequenza, che è la sola regola che ha più elementi <eventSelector>. Esso definisce in modo univoco un evento selezionato nella regola di sequenza. I predicati e le azioni di filtro possono quindi utilizzare questi nomi alias per accedere a quell'evento. | xsd:NMTOKEN | No |
<eventSelector> contiene i seguenti elementi.
Gli elementi devono essere codificati nell'ordine visualizzato. Se un elemento è facoltativo, non deve essere codificato ma tutti gli elementi codificati devono seguire l'ordine corretto.
Elemento | Obbligatorio o facoltativo? |
---|---|
<eventType> | Facoltativo. Sono consentite zero o più ricorrenze. |
<filteringPredicate> | Facoltativo. E' consentito 0 o 1. |