L'élément <eventSelector> définit les événements qui sont sélectionnés pour être traités par une règle.
Ne pas coder d'élément <eventType> peut avoir un impact négatif sur les performances du système.
Supposons que vous souhaitiez sélectionner tous les événements de type Audit Failure. Vous pouvez utiliser un prédicat de filtrage pour restreindre davantage les critères de sélection et n'inclure que les événements dont l'un des attributs comporte une valeur donnée. Par exemple, vous coderiez un élément <eventType> pour sélectionner tous les événements de type Audit Failure et un élément <filteringPredicate> pour sélectionner uniquement les événements dont l'attribut de nom d'hôte comporte la valeur MyCriticalSystem.
<eventSelector> possède les attributs suivants :
Nom | Description | Type de données | Obligatoire ? |
---|---|---|---|
alias | Cet attribut est valide uniquement dans une règle de séquence, la seule à comporter plusieurs éléments <eventSelector>. Il nomme de façon unique un événement sélectionné par un sélecteur d'événement donné dans la règle de séquence. Les prédicats de filtrage et les actions peuvent ensuite utiliser ce nom d'alias pour accéder à cet événement. | xsd:NMTOKEN | Non |
<eventSelector> contient les éléments suivants.
Ces éléments doivent être codés dans l'ordre indiqué. Il n'est pas nécessaire de coder les éléments facultatifs, mais tous les éléments codés doivent être placés dans le bon ordre.
Elément | Obligatoire ou facultatif ? |
---|---|
<eventType> | Facultatif. Le nombre d'occurrences autorisé est de 0 ou plus. |
<filteringPredicate> | Facultatif. Le nombre d'occurrences autorisé est de 0 ou 1. |