El elemento <activateOnEvent> define los sucesos que pueden activar la regla o una instancia de regla, en el caso de las reglas definidas con un elemento <groupingKey>.
Si la regla está inactiva y no se ha codificado ningún elemento <eventType> o <filteringPredicate>, se selecciona cualquier suceso que tenga lugar.
No codificar ningún elemento <eventType> puede tener un impacto negativo en el rendimiento del sistema.
Supongamos que desea seleccionar todos los sucesos del tipo Audit Failure. Puede utilizar un predicado de filtrado para refinar aún más los criterios de selección e incluir únicamente los sucesos que tengan un atributo de suceso con un valor determinado. Por ejemplo, podría codificar un elemento <eventType> para seleccionar todos los sucesos del tipo Audit Failure, y codificar un elemento <filteringPredicate> para seleccionar únicamente aquellos sucesos que tengan un atributo hostname con el valor MyCriticalSystem.
<activateOnEvent> no tiene atributos.
<activateOnEvent> contiene los siguientes elementos.
Los elementos deben ser codificados en el orden que se muestra. Si un elemento es opcional, no es necesario que se codifique, pero todos los elementos que se codifiquen deben seguir el orden correcto.
Elemento | ¿Obligatorio u opcional? |
---|---|
<eventType> | Opcional. Se permiten 0 o más ocurrencias. |
<filteringPredicate> | Opcional. Se permiten 0 o 1 ocurrencias. |
<stopAfter> | Este elemento sólo es válido cuando el elemento <activateOnEvent> está contenido en el elemento <activationByGroupingKey>. Opcional. Se permiten 0 o 1 ocurrencias. |