Das Element <eventSelector> definiert die Ereignisse, die für die Verarbeitung durch eine Regel ausgewählt werden.
Wenn Sie keine <eventType>-Elemente codieren, kann dies negative Auswirkungen auf die Systemleistung haben.
Angenommen, Sie möchten alle Ereignisse des Typs Audit Failure auswählen. Sie können ein Filterprädikat verwenden, um die Auswahlkriterien weiter einzugrenzen, damit nur die Ereignisse eingeschlossen werden, die ein Ereignisattribut mit einem bestimmten Wert aufweisen. Beispiel: Sie codieren ein <eventType>-Element, um alle Ereignisse des Typs Audit Failure auszuwählen und ein <filteringPredicate>-Element, um nur die Ereignisse auszuwählen, die ein Hostnamensattribut mit dem Wert MyCriticalSystem aufweisen.
<eventSelector> weist das folgende Attribut auf:
Name | Beschreibung | Datentyp | Erforderlich? |
---|---|---|---|
alias | Dieses Attribut ist nur in einer Sequenzregel gültig, da sie die einzige Regel ist, die mehrere <eventSelector>-Elemente hat. Dieses Attribut gibt einem Ereignis, das durch einen bestimmten Ereignisselektor in der Sequenzregel ausgewählt wird, einen eindeutigen Namen. Filterprädikate und Aktionen können diesen Aliasnamen dann verwenden, um auf dieses Ereignis zuzugreifen. | xsd:NMTOKEN | Nein |
<eventSelector> enthält die folgenden Elemente.
Die Elemente müssen in der angezeigten Reihenfolge codiert werden. Wenn ein Element optional ist, muss es nicht codiert werden. Alle codierten Elemente müssen jedoch die richtige Reihenfolge aufweisen.
Element | Erforderlich oder optional? |
---|---|
<eventType> | Optional. 0 oder mehr Vorkommen sind zulässig. |
<filteringPredicate> | Optional. 0 oder 1 Vorkommen ist zulässig. |