Elément deactivateOnEvent

L'élément <deactivateOnEvent> définit les événements qui peuvent désactiver la règle ou, pour les règles définies avec un élément <groupingKey>, une instance de règle.

Les trois modes de sélection possibles sont les suivants :
  • Utilisation d'un ou de plusieurs éléments <eventType> avec un élément <filteringPredicate>
  • Utilisation d'un ou de plusieurs éléments <eventType> sans élément <filteringPredicate>
  • Utilisation d'un élément <filteringPredicate> sans élément <eventType>

Si la règle est active et qu'aucun élément <eventType> ou <filteringPredicate> n'est codé, tous les événements produits sont sélectionnés.

Ne pas coder d'élément <eventType> peut avoir un impact négatif sur les performances du système.

Supposons que vous souhaitiez sélectionner tous les événements de type Audit Failure. Vous pouvez utiliser un prédicat de filtrage pour restreindre davantage les critères de sélection et n'inclure que les événements dont l'un des attributs comporte une valeur donnée. Par exemple, vous coderiez un élément <eventType> pour sélectionner tous les événements de type Audit Failure et un élément <filteringPredicate> pour sélectionner uniquement les événements dont l'attribut de nom d'hôte comporte la valeur MyCriticalSystem.

Attributs

<deactivateOnEvent> ne possède aucun attribut.

Contenu dans

<deactivateOnEvent> est contenu dans les éléments suivants :

Contient

<deactivateOnEvent> contient les éléments suivants.

Ces éléments doivent être codés dans l'ordre indiqué. Il n'est pas nécessaire de coder les éléments facultatifs, mais tous les éléments codés doivent être placés dans le bon ordre.

Tableau 1. Eléments contenus dans <deactivateOnEvent>
Elément Obligatoire ou facultatif ?
<eventType> Facultatif. Le nombre d'occurrences autorisé est de 0 ou plus.
<filteringPredicate> Facultatif. Le nombre d'occurrences autorisé est de 0 ou 1.