Elemento eventSelector

El elemento <eventSelector> define los sucesos que se seleccionan para su proceso por una regla.

Detalles

A continuación se describen los tres modos posibles de seleccionar sucesos:
  • Utilizar uno o más elementos <eventType> con un elemento <filteringPredicate>
  • Utilizar uno o más elementos <eventType> sin elemento <filteringPredicate>
  • Utilizar un elemento <filteringPredicate> sin ningún elemento <eventType>
En casos especiales en los que desee que una regla procese todos los sucesos, tiene las siguientes opciones:
  • No codifique ningún elemento <eventSelector>.
  • Codifique un elemento <eventSelector> que no contenga elementos.

No codificar ningún elemento <eventType> puede tener un impacto negativo en el rendimiento del sistema.

Supongamos que desea seleccionar todos los sucesos del tipo Audit Failure. Puede utilizar un predicado de filtrado para refinar aún más los criterios de selección e incluir únicamente los sucesos que tengan un atributo de suceso con un valor determinado. Por ejemplo, podría codificar un elemento <eventType> para seleccionar todos los sucesos del tipo Audit Failure, y codificar un elemento <filteringPredicate> para seleccionar únicamente aquellos sucesos que tengan un atributo hostname con el valor MyCriticalSystem.

Atributos

<eventSelector> tiene los siguientes atributos:

Tabla 1. Atributos del elemento <eventSelector>
Nombre Descripción Tipo de datos ¿Obligatorio?
alias Este atributo sólo es válido dentro de una regla de secuencia, que es la única regla que tiene múltiples elementos <eventSelector>. Nombra exclusivamente un suceso que es seleccionado por un selector de sucesos determinado en la regla de secuencia. A continuación, los predicados y las acciones de filtrado pueden utilizar este nombre de alias para acceder a ese suceso. xsd:NMTOKEN No

Contenido en

<eventSelector> está contenido en los siguientes elementos:

Contiene

<eventSelector> contiene los siguientes elementos.

Los elementos deben ser codificados en el orden que se muestra. Si un elemento es opcional, no es necesario que se codifique, pero todos los elementos que se codifiquen deben seguir el orden correcto.

Tabla 2. Elementos contenidos en el elemento <eventSelector>
Elemento ¿Obligatorio u opcional?
<eventType> Opcional. Se permiten 0 o más ocurrencias.
<filteringPredicate> Opcional. Se permiten 0 o 1 ocurrencias.