deactivateOnEvent 요소

<deactivateOnEvent> 요소는 규칙을 비활성화할 수 있거나 <groupingKey> 요소로 정의된 규칙의 경우 규칙 인스턴스를 비활성화할 수 있는 이벤트를 정의합니다.

다음은 이벤트를 선택하는 세 가지 가능한 방법입니다.
  • 하나 이상의 <eventType> 요소를 <filteringPredicate> 요소와 함께 사용
  • 하나 이상의 <eventType> 요소를 <filteringPredicate> 요소 없이 사용
  • <filteringPredicate> 요소를 <eventType> 요소 없이 사용

규칙이 활성이고 <eventType> 또는 <filteringPredicate> 요소가 코딩되지 않은 경우에는 발생하는 모든 이벤트가 선택됩니다.

시스템 성능에 부정적인 영향을 미칠 수 있는 <eventType> 요소를 코딩하지 마십시오.

Audit Failure 유형의 모든 이벤트를 선택하고 싶어한다고 가정합니다. 필터링 선언문을 사용하면 특정값의 이벤트 속성이 있는 이벤트만을 포함하도록 선택 기준을 추가로 구체화할 수 있습니다. 예를 들어, Audit Failure 유형의 모든 이벤트를 선택하기 위해 <eventType> 요소를 코딩하고 MyCriticalSystem 값이 있는 호스트 이름 속성이 있는 이벤트만을 선택하도록 <filteringPredicate> 요소를 코딩할 수 있습니다.

속성

<deactivateOnEvent>에는 속성이 없습니다.

포함 위치

<deactivateOnEvent>는 다음 요소 내에 포함되어 있습니다.

포함 요소

<deactivateOnEvent>는 다음 요소를 포함합니다.

요소는 표시된 순서대로 코딩되어야 합니다. 요소가 선택적이면 코딩할 필요가 없지만 코딩된 모든 요소는 올바른 순서를 따라야 합니다.

표 1. <deactivateOnEvent> 요소 내에 포함된 요소
요소 필수 또는 선택적 여부
<eventType> 선택적. 0 이상의 발생이 허용됩니다.
<filteringPredicate> 선택적. 0 또는 1 발생이 허용됩니다.