Elemento deactivateOnEvent

L'elemento <deactivateOnEvent> definisce gli eventi che possono disattivare la regola o, per le regole definite con un elemento <groupingKey>, un'istanza della regola.

Di seguito vengono illustrati tre modi possibili di selezionare gli eventi:
  • L'uso di uno o più elementi <eventType> con un elemento <filteringPredicate>
  • L'uso di uno o più elementi <eventType> con un elemento <filteringPredicate>
  • L'uso di un elemento <filteringPredicate> senza elementi <eventType>

Se la regola è attiva e non è stato codificato alcun elemento <eventType> o <filteringPredicate>, vengono selezionati tutti gli eventi che si verificano.

Se non si codifica un elemento <eventType> le prestazioni possono risentirne in modo negativo.

Presumere il caso in cui si selezionano tutti gli eventi del tipo Audit Failure. E' possibile utilizzare un predicato di filtro per restringere i criteri di scelta in modo da includere solo gli eventi che presentano un attributo di evento con un certo valore. Codificare, ad esempio, un elemento <eventType> per selezionare tutti gli eventi del tipo Audit Failure e codificare un elemento <filteringPredicate> per selezionare solo quegli eventi che hanno un attributo hostname con il valore MyCriticalSystem.

Attributi

<deactivateOnEvent> non ha attributi.

Contenuto in

<deactivateOnEvent> è contenuto nei seguenti elementi:

Contiene

<deactivateOnEvent> contiene i seguenti elementi.

Gli elementi devono essere codificati nell'ordine visualizzato. Se un elemento è facoltativo, non deve essere codificato ma tutti gli elementi codificati devono seguire l'ordine corretto.

Tabella 1. Elementi contenuti nell'elemento <deactivateOnEvent>
Elemento Obbligatorio o facoltativo?
<eventType> Facoltativo. Sono consentite zero o più ricorrenze.
<filteringPredicate> Facoltativo. E' consentito 0 o 1.