El elemento <eventSelector> define los sucesos que se seleccionan para su proceso por una regla.
No codificar ningún elemento <eventType> puede tener un impacto negativo en el rendimiento del sistema.
Supongamos que desea seleccionar todos los sucesos del tipo Audit Failure. Puede utilizar un predicado de filtrado para refinar aún más los criterios de selección e incluir únicamente los sucesos que tengan un atributo de suceso con un valor determinado. Por ejemplo, podría codificar un elemento <eventType> para seleccionar todos los sucesos del tipo Audit Failure, y codificar un elemento <filteringPredicate> para seleccionar únicamente aquellos sucesos que tengan un atributo hostname con el valor MyCriticalSystem.
<eventSelector> tiene los siguientes atributos:
Nombre | Descripción | Tipo de datos | ¿Obligatorio? |
---|---|---|---|
alias | Este atributo sólo es válido dentro de una regla de secuencia, que es la única regla que tiene múltiples elementos <eventSelector>. Nombra exclusivamente un suceso que es seleccionado por un selector de sucesos determinado en la regla de secuencia. A continuación, los predicados y las acciones de filtrado pueden utilizar este nombre de alias para acceder a ese suceso. | xsd:NMTOKEN | No |
<eventSelector> contiene los siguientes elementos.
Los elementos deben ser codificados en el orden que se muestra. Si un elemento es opcional, no es necesario que se codifique, pero todos los elementos que se codifiquen deben seguir el orden correcto.
Elemento | ¿Obligatorio u opcional? |
---|---|
<eventType> | Opcional. Se permiten 0 o más ocurrencias. |
<filteringPredicate> | Opcional. Se permiten 0 o 1 ocurrencias. |