deactivateOnEvent 元素

<deactivateOnEvent> 元素定义可停用规则或(对于使用 <groupingKey> 元素定义的规则)规则实例的事件。

以下为选择事件的 3 种可能方式:
  • 使用带有 <filteringPredicate> 元素的一个或多个 <eventType> 元素
  • 使用不带有 <filteringPredicate> 元素的一个或多个 <eventType> 元素
  • 使用不带有任何 <eventType> 元素的 <filteringPredicate> 元素

如果规则处于活动状态且未对 <eventType> 或 <filteringPredicate> 元素进行 编码,则将选择发生的任意事件。

不编写任何 <eventType> 元素 可对系统性能造成负面影响。

假定要选择Audit Failure 类型的所有事件。 可使用过滤谓词来进一步优化选择条件,以便仅包含事件属性具有特定值的事件。 例如,可编写 <eventType> 元素以选择Audit Failure类型的所有事件, 并编写 <filteringPredicate> 元素以仅选择主机名属性具有值 MyCriticalSystem)的那些事件。

属性

<deactivateOnEvent> 不具有属性。

包含于

<deactivateOnEvent> 包含于以下元素中:

包含

<deactivateOnEvent> 包含以下元素。

必须将这些元素按所显示的顺序进行编码。如果某个元素为可选元素,则可以不对其进行编码,但所有已编码的元素都必须按照正确的顺序。

表 1. <deactivateOnEvent> 元素中包含的元素
元素 必需或可选?
<eventType> 可选。允许出现 0 次或多次。
<filteringPredicate> 可选。允许出现 0 或 1 次。