<deactivateOnEvent> 元素會定義可以停用規則或 (若為使用 <groupingKey> 元素來定義的規則) 規則實例的事件。
如果規則處於作用中,且沒有編碼 <eventType> 或 <filteringPredicate> 元素,則會選取發生的所有事件。
不編碼任何 <eventType> 元素會對系統效能產生負面影響。
假設您要選取類型為 Audit Failure 的所有事件。您可以使用過濾述語來進一步修正選取準則,僅包括其事件屬性具有固定值的事件。例如,您可以編碼 <eventType> 元素,以選取類型為 Audit Failure 的所有事件,並編碼 <filteringPredicate> 元素,僅選取其 hostname 屬性值為 MyCriticalSystem 的那些事件。
<deactivateOnEvent> 沒有屬性。
<deactivateOnEvent> 包含下列元素。
元素必須按照所顯示的次序來編碼。如果元素是選用的,則無需進行編碼,但所有編碼的元素都必須遵循正確的次序。
元素 | 必要的或選用的? |
---|---|
<eventType> | 選用的。出現次數 0 或更多是可接受的。 |
<filteringPredicate> | 選用的。出現次數 0 或 1 是可接受的。 |