eventSelector 元素

<eventSelector> 元素會定義規則所選取以進行處理的事件。

詳細資訊

下列是選取事件的三種可能方法:
  • 使用一或多個具有 <filteringPredicate> 元素的 <eventType> 元素
  • 使用一或多個不具有 <filteringPredicate> 元素的 <eventType> 元素
  • 使用不具有任何 <eventType> 元素的 <filteringPredicate> 元素
在要規則處理所有事件的特殊情況下,您具有下列選項:
  • 不編碼 <eventSelector> 元素。
  • 編碼不含任何元素的 <eventSelector> 元素。

不編碼任何 <eventType> 元素會對系統效能產生負面影響。

假設您要選取類型為 Audit Failure 的所有事件。您可以使用過濾述語來進一步修正選取準則,僅包括其事件屬性具有固定值的事件。例如,您可以編碼 <eventType> 元素,以選取類型為 Audit Failure 的所有事件,並編碼 <filteringPredicate> 元素,僅選取其 hostname 屬性值為 MyCriticalSystem 的那些事件。

屬性

<eventSelector> 具有下列屬性:

表 1. <eventSelector> 元素的屬性
名稱 說明 資料類型 必要的嗎?
alias 此屬性僅在序列規則內有效,序列規則是唯一具有多個 <eventSelector> 元素的規則。它會將此特定事件選擇器在序列規則中所選取的事件命名為唯一的名稱。然後,過濾述語及動作可以使用此別名來存取該事件。 xsd:NMTOKEN

包含範圍

包含

<eventSelector> 包含下列元素。

元素必須按照所顯示的次序來編碼。如果元素是選用的,則無需進行編碼,但所有編碼的元素都必須遵循正確的次序。

表 2. <eventSelector> 元素中包含的元素
元素 必要的或選用的?
<eventType> 選用的。出現次數 0 或更多是可接受的。
<filteringPredicate> 選用的。出現次數 0 或 1 是可接受的。