<eventSelector> 元素會定義規則所選取以進行處理的事件。
不編碼任何 <eventType> 元素會對系統效能產生負面影響。
假設您要選取類型為 Audit Failure 的所有事件。您可以使用過濾述語來進一步修正選取準則,僅包括其事件屬性具有固定值的事件。例如,您可以編碼 <eventType> 元素,以選取類型為 Audit Failure 的所有事件,並編碼 <filteringPredicate> 元素,僅選取其 hostname 屬性值為 MyCriticalSystem 的那些事件。
<eventSelector> 具有下列屬性:
名稱 | 說明 | 資料類型 | 必要的嗎? |
---|---|---|---|
alias | 此屬性僅在序列規則內有效,序列規則是唯一具有多個 <eventSelector> 元素的規則。它會將此特定事件選擇器在序列規則中所選取的事件命名為唯一的名稱。然後,過濾述語及動作可以使用此別名來存取該事件。 | xsd:NMTOKEN | 否 |
<eventSelector> 包含下列元素。
元素必須按照所顯示的次序來編碼。如果元素是選用的,則無需進行編碼,但所有編碼的元素都必須遵循正確的次序。
元素 | 必要的或選用的? |
---|---|
<eventType> | 選用的。出現次數 0 或更多是可接受的。 |
<filteringPredicate> | 選用的。出現次數 0 或 1 是可接受的。 |