eventSelector 元素

<eventSelector> 元素定义由规则选择进行处理的事件。

详细信息

以下为选择事件的 3 种可能方式:
  • 使用带有 <filteringPredicate> 元素的一个或多个 <eventType> 元素
  • 使用不带有 <filteringPredicate> 元素的一个或多个 <eventType> 元素
  • 使用不带有任何 <eventType> 元素的 <filteringPredicate> 元素
在希望规则处理所有事件的特殊情况下,可使用以下选项:
  • 不编写 <eventSelector> 元素。
  • 编写不包含元素的 <eventSelector> 元素。

不编写任何 <eventType> 元素 可对系统性能造成负面影响。

假定要选择Audit Failure 类型的所有事件。 可使用过滤谓词来进一步优化选择条件,以便仅包含事件属性具有特定值的事件。 例如,可编写 <eventType> 元素以选择Audit Failure类型的所有事件, 并编写 <filteringPredicate> 元素以仅选择主机名属性具有值 MyCriticalSystem)的那些事件。

属性

<eventSelector> 具有以下属性:

表 1. <eventSelector> 元素的属性
名称 描述 数据类型 必需?
alias 该属性仅在序列规则中有效,序列规则是唯一具有多 个 <eventSelector> 元素的规则。它唯一地指定了序列规则中某个事件选择器选择的事件。过滤谓词和操作可随后使用该别名访问该事件。 xsd:NMTOKEN

包含于

包含

<eventSelector> 包含以下元素。

必须将这些元素按所显示的顺序进行编码。如果某个元素为可选元素,则可以不对其进行编码,但所有已编码的元素都必须按照正确的顺序。

表 2. <eventSelector> 元素中包含的元素
元素 必需或可选?
<eventType> 可选。允许出现 0 次或多次。
<filteringPredicate> 可选。允许出现 0 或 1 次。