eventSelector エレメント

<eventSelector> エレメントは、ルールで処理するために選択されるイベントを定義します。

詳細

イベントは、以下の 3 つの方法で選択できます。
  • <filteringPredicate> エレメントとともに 1 つ以上の <eventType> エレメントを使用する方法
  • <filteringPredicate> エレメントを使用せずに 1 つ以上の <eventType> エレメントを使用する方法
  • <eventType> エレメントを使用せずに <filteringPredicate> エレメントを使用する方法
ルールにすべてのイベントを処理させるような特別な場合は、以下のオプションがあります。
  • <eventSelector> エレメントをコーディングしない。
  • エレメントを含まない <eventSelector> エレメントをコーディングする。

<eventType> エレメントをコーディングしないと、システム・パフォーマンスが低下する場合があります。

Audit Failure タイプのすべてのイベントを選択するとします。 フィルター述部を使用して選択基準をさらに絞り込み、特定の値のイベント属性を持つイベントのみ選択されるようにすることができます。 例えば、<eventType> エレメントをコーディングして Audit Failure タイプのすべてのイベントを選択し、<filteringPredicate> エレメントをコーディングして、値が MyCriticalSystem の hostname 属性を持つイベントのみを選択できます。

属性

<eventSelector> には以下の属性があります。

表 1. <eventSelector> エレメントの属性
名前 説明 データ・タイプ 必須?
alias この属性は、複数の <eventSelector> エレメントを持つ唯一のルールであるシーケンス・ルール内でのみ有効です。この属性は、シーケンス・ルール内の特定のイベント・セレクターで選択されたイベントに固有の名前を付けます。この別名は、フィルター述部およびアクションで、そのイベントへのアクセスに使用できます。 xsd:NMTOKEN いいえ

このエレメントを含むエレメント

<eventSelector> は以下のエレメントに含まれます。

このエレメントに含まれるエレメント

<eventSelector> には以下のエレメントが含まれます。

以下のエレメントは、表示されている順序でコーディングする必要があります。エレメントがオプションである場合、コーディングする必要はありませんが、コーディングするエレメントはすべて正しい順序になっている必要があります。

表 2. <eventSelector> エレメントに含まれるエレメント
エレメント 必須/オプション
<eventType> オプション。0 回以上指定できます。
<filteringPredicate> オプション。指定できるのは 0 回または 1 回です。