<deactivateOnEvent> エレメントは、ルール、またはルール・インスタンス (<groupingKey> エレメントを使用して定義されるルールの場合) を非アクティブ化できるイベントを定義します。
ルールがアクティブであり、<eventType> エレメントや <filteringPredicate> エレメントがコーディングされていない場合、発生するすべてのイベントが選択されます。
<eventType> エレメントをコーディングしないと、システム・パフォーマンスが低下する場合があります。
Audit Failure タイプのすべてのイベントを選択するとします。 フィルター述部を使用して選択基準をさらに絞り込み、特定の値のイベント属性を持つイベントのみ選択されるようにすることができます。 例えば、<eventType> エレメントをコーディングして Audit Failure タイプのすべてのイベントを選択し、<filteringPredicate> エレメントをコーディングして、値が MyCriticalSystem の hostname 属性を持つイベントのみを選択できます。
<deactivateOnEvent> には属性がありません。
<deactivateOnEvent> には以下のエレメントが含まれます。
以下のエレメントは、表示されている順序でコーディングする必要があります。エレメントがオプションである場合、コーディングする必要はありませんが、コーディングするエレメントはすべて正しい順序になっている必要があります。
エレメント | 必須/オプション |
---|---|
<eventType> | オプション。0 回以上指定できます。 |
<filteringPredicate> | オプション。指定できるのは 0 回または 1 回です。 |