deactivateOnEvent エレメント

<deactivateOnEvent> エレメントは、ルール、またはルール・インスタンス (<groupingKey> エレメントを使用して定義されるルールの場合) を非アクティブ化できるイベントを定義します。

イベントは、以下の 3 つの方法で選択できます。
  • <filteringPredicate> エレメントとともに 1 つ以上の <eventType> エレメントを使用する方法
  • <filteringPredicate> エレメントを使用せずに 1 つ以上の <eventType> エレメントを使用する方法
  • <eventType> エレメントを使用せずに <filteringPredicate> エレメントを使用する方法

ルールがアクティブであり、<eventType> エレメントや <filteringPredicate> エレメントがコーディングされていない場合、発生するすべてのイベントが選択されます。

<eventType> エレメントをコーディングしないと、システム・パフォーマンスが低下する場合があります。

Audit Failure タイプのすべてのイベントを選択するとします。 フィルター述部を使用して選択基準をさらに絞り込み、特定の値のイベント属性を持つイベントのみ選択されるようにすることができます。 例えば、<eventType> エレメントをコーディングして Audit Failure タイプのすべてのイベントを選択し、<filteringPredicate> エレメントをコーディングして、値が MyCriticalSystem の hostname 属性を持つイベントのみを選択できます。

属性

<deactivateOnEvent> には属性がありません。

このエレメントを含むエレメント

<deactivateOnEvent> は以下のエレメントに含まれます。

このエレメントに含まれるエレメント

<deactivateOnEvent> には以下のエレメントが含まれます。

以下のエレメントは、表示されている順序でコーディングする必要があります。エレメントがオプションである場合、コーディングする必要はありませんが、コーディングするエレメントはすべて正しい順序になっている必要があります。

表 1. <deactivateOnEvent> エレメントに含まれるエレメント
エレメント 必須/オプション
<eventType> オプション。0 回以上指定できます。
<filteringPredicate> オプション。指定できるのは 0 回または 1 回です。