<eventSelector> 元素定义由规则选择进行处理的事件。
不编写任何 <eventType> 元素 可对系统性能造成负面影响。
假定要选择Audit Failure 类型的所有事件。 可使用过滤谓词来进一步优化选择条件,以便仅包含事件属性具有特定值的事件。 例如,可编写 <eventType> 元素以选择Audit Failure类型的所有事件, 并编写 <filteringPredicate> 元素以仅选择主机名属性具有值 MyCriticalSystem)的那些事件。
<eventSelector> 具有以下属性:
名称 | 描述 | 数据类型 | 必需? |
---|---|---|---|
alias | 该属性仅在序列规则中有效,序列规则是唯一具有多 个 <eventSelector> 元素的规则。它唯一地指定了序列规则中某个事件选择器选择的事件。过滤谓词和操作可随后使用该别名访问该事件。 | xsd:NMTOKEN | 否 |
<eventSelector> 包含以下元素。
必须将这些元素按所显示的顺序进行编码。如果某个元素为可选元素,则可以不对其进行编码,但所有已编码的元素都必须按照正确的顺序。
元素 | 必需或可选? |
---|---|
<eventType> | 可选。允许出现 0 次或多次。 |
<filteringPredicate> | 可选。允许出现 0 或 1 次。 |