<deactivateOnEvent> 元素定义可停用规则或(对于使用 <groupingKey> 元素定义的规则)规则实例的事件。
如果规则处于活动状态且未对 <eventType> 或 <filteringPredicate> 元素进行 编码,则将选择发生的任意事件。
不编写任何 <eventType> 元素 可对系统性能造成负面影响。
假定要选择Audit Failure 类型的所有事件。 可使用过滤谓词来进一步优化选择条件,以便仅包含事件属性具有特定值的事件。 例如,可编写 <eventType> 元素以选择Audit Failure类型的所有事件, 并编写 <filteringPredicate> 元素以仅选择主机名属性具有值 MyCriticalSystem)的那些事件。
<deactivateOnEvent> 不具有属性。
<deactivateOnEvent> 包含以下元素。
必须将这些元素按所显示的顺序进行编码。如果某个元素为可选元素,则可以不对其进行编码,但所有已编码的元素都必须按照正确的顺序。
元素 | 必需或可选? |
---|---|
<eventType> | 可选。允许出现 0 次或多次。 |
<filteringPredicate> | 可选。允许出现 0 或 1 次。 |