activateOnEvent 元素

<activateOnEvent> 元素會定義可以啟用規則或 (若為使用 <groupingKey> 元素來定義的規則) 規則實例的事件。

下列是選取事件的三種可能方法:
  • 使用一或多個具有 <filteringPredicate> 元素的 <eventType> 元素
  • 使用一或多個不具有 <filteringPredicate> 元素的 <eventType> 元素
  • 使用不具有任何 <eventType> 元素的 <filteringPredicate> 元素

如果規則處於不作用狀態,而且未編碼任何 <eventType> 或 <filteringPredicate> 元素,則會選取發生的任何事件。

不編碼任何 <eventType> 元素會對系統效能產生負面影響。

假設您要選取類型為 Audit Failure 的所有事件。您可以使用過濾述語來進一步修正選取準則,僅包括其事件屬性具有固定值的事件。例如,您可以編碼 <eventType> 元素,以選取類型為 Audit Failure 的所有事件,並編碼 <filteringPredicate> 元素,僅選取其 hostname 屬性值為 MyCriticalSystem 的那些事件。

屬性

<activateOnEvent> 沒有屬性。

包含範圍

<activateOnEvent> 內含在下列元素中:

包含

<activateOnEvent> 包含下列元素。

元素必須按照所顯示的次序來編碼。如果元素是選用的,則無需進行編碼,但所有編碼的元素都必須遵循正確的次序。

表 1. <activateOnEvent> 元素中包含的元素
元素 必要的或選用的?
<eventType> 選用的。出現次數 0 或更多是可接受的。
<filteringPredicate> 選用的。出現次數 0 或 1 是可接受的。
<stopAfter> 只有當 <activateOnEvent> 元素包含在 <activationByGroupingKey> 元素中時,此元素才有效。

選用的。出現次數 0 或 1 是可接受的。