L'elemento <activateOnEvent> definisce gli eventi che possono attivare la regola o, per le regole definite con un elemento <groupingKey>, un'istanza della regola.
Se la regola è inattiva e non è stato codificato alcun elemento <eventType> o <filteringPredicate>, vengono selezionati tutti gli eventi che si verificano.
Se non si codifica un elemento <eventType> le prestazioni possono risentirne in modo negativo.
Presumere il caso in cui si selezionano tutti gli eventi del tipo Audit Failure. E' possibile utilizzare un predicato di filtro per restringere i criteri di scelta in modo da includere solo gli eventi che presentano un attributo di evento con un certo valore. Codificare, ad esempio, un elemento <eventType> per selezionare tutti gli eventi del tipo Audit Failure e codificare un elemento <filteringPredicate> per selezionare solo quegli eventi che hanno un attributo hostname con il valore MyCriticalSystem.
<activateOnEvent> non ha attributi.
<activateOnEvent> contiene i seguenti elementi.
Gli elementi devono essere codificati nell'ordine visualizzato. Se un elemento è facoltativo, non deve essere codificato ma tutti gli elementi codificati devono seguire l'ordine corretto.
Elemento | Obbligatorio o facoltativo? |
---|---|
<eventType> | Facoltativo. Sono consentite zero o più ricorrenze. |
<filteringPredicate> | Facoltativo. E' consentito 0 o 1. |
<stopAfter> | Questo elemento è valido solo quando l'elemento <activateOnEvent>
è contenuto nell'elemento <activationByGroupingKey>. Facoltativo. E' consentito 0 o 1. |