Element 'eventSelector'

Das Element <eventSelector> definiert die Ereignisse, die für die Verarbeitung durch eine Regel ausgewählt werden.

Details

Im Folgenden werden die drei Möglichkeiten aufgeführt, Ereignisse auszuwählen:
  • Die Verwendung mindestens eines <eventType>-Elements mit einem <filteringPredicate>-Element
  • Die Verwendung mindestens eines <eventType>-Elements ohne <filteringPredicate>-Element
  • Die Verwendung eines <filteringPredicate>-Elements ohne <eventType>-Elemente
In besonderen Fällen, in denen Sie möchten, dass eine Regel alle Ereignisse verarbeitet, haben Sie die folgenden Optionen:
  • Codieren Sie kein <eventSelector>-Element.
  • Codieren Sie ein <eventSelector>-Element, das keine Elemente enthält.

Wenn Sie keine <eventType>-Elemente codieren, kann dies negative Auswirkungen auf die Systemleistung haben.

Angenommen, Sie möchten alle Ereignisse des Typs Audit Failure auswählen. Sie können ein Filterprädikat verwenden, um die Auswahlkriterien weiter einzugrenzen, damit nur die Ereignisse eingeschlossen werden, die ein Ereignisattribut mit einem bestimmten Wert aufweisen. Beispiel: Sie codieren ein <eventType>-Element, um alle Ereignisse des Typs Audit Failure auszuwählen und ein <filteringPredicate>-Element, um nur die Ereignisse auszuwählen, die ein Hostnamensattribut mit dem Wert MyCriticalSystem aufweisen.

Attribute

<eventSelector> weist das folgende Attribut auf:

Tabelle 1. Attribute des Elements <eventSelector>
Name Beschreibung Datentyp Erforderlich?
alias Dieses Attribut ist nur in einer Sequenzregel gültig, da sie die einzige Regel ist, die mehrere <eventSelector>-Elemente hat. Dieses Attribut gibt einem Ereignis, das durch einen bestimmten Ereignisselektor in der Sequenzregel ausgewählt wird, einen eindeutigen Namen. Filterprädikate und Aktionen können diesen Aliasnamen dann verwenden, um auf dieses Ereignis zuzugreifen. xsd:NMTOKEN Nein

Enthalten in

<eventSelector> ist in den folgenden Elementen enthalten:

Enthält

<eventSelector> enthält die folgenden Elemente.

Die Elemente müssen in der angezeigten Reihenfolge codiert werden. Wenn ein Element optional ist, muss es nicht codiert werden. Alle codierten Elemente müssen jedoch die richtige Reihenfolge aufweisen.

Tabelle 2. Im Element <eventSelector> enthaltene Elemente
Element Erforderlich oder optional?
<eventType> Optional. 0 oder mehr Vorkommen sind zulässig.
<filteringPredicate> Optional. 0 oder 1 Vorkommen ist zulässig.