El elemento <deactivateOnEvent> define los sucesos que pueden desactivar una regla o, para reglas definidas con un elemento <groupingKey>, una instancia de regla.
Si la regla está activa y no hay ningún elemento <eventType> o <filteringPredicate> codificado, se selecciona cualquier suceso que tenga lugar.
No codificar ningún elemento <eventType> puede tener un impacto negativo en el rendimiento del sistema.
Supongamos que desea seleccionar todos los sucesos del tipo Audit Failure. Puede utilizar un predicado de filtrado para refinar aún más los criterios de selección e incluir únicamente los sucesos que tengan un atributo de suceso con un valor determinado. Por ejemplo, podría codificar un elemento <eventType> para seleccionar todos los sucesos del tipo Audit Failure, y codificar un elemento <filteringPredicate> para seleccionar únicamente aquellos sucesos que tengan un atributo hostname con el valor MyCriticalSystem.
<deactivateOnEvent> no tiene atributos.
<deactivateOnEvent> contiene los siguientes elementos.
Los elementos deben ser codificados en el orden que se muestra. Si un elemento es opcional, no es necesario que se codifique, pero todos los elementos que se codifiquen deben seguir el orden correcto.
Elemento | ¿Obligatorio u opcional? |
---|---|
<eventType> | Opcional. Se permiten 0 o más ocurrencias. |
<filteringPredicate> | Opcional. Se permiten 0 o 1 ocurrencias. |