Erweiterte Einstellungen - Drosselung
Mit der Drosselung kann die Ausführung von Tasks eingeschränkt werden. Die Drosselung wird normalerweise eingesetzt, wenn ein Task durch ein häufig auftretendes Ereignis ausgelöst wird. Unter bestimmten Umständen kann die Drosselung verhindern, dass ein Trigger ausgelöst wird. Der Trigger wird bei jedem Auslösen nach dem folgenden Schema bewertet. Der Task wird nur ausgeführt, wenn der entsprechende Trigger die angegebenen Bedingungen erfüllt. Ohne Drosselungsbedingungen wird der Task bei allen Triggerereignissen ausgeführt.
Die Drosselung kann anhand von drei verschiedenen Bedingungen konfiguriert werden:
•Zeitbasierte Kriterien
•Statistische Kriterien
•Ereignis-Log-Kriterien
Tasks werden nur ausgeführt, wenn die folgenden Bedingungen erfüllt sind:
•Alle Arten von Bedingungen müssen erfüllt sein.
•Es müssen Bedingungen festgelegt sein. Leere Bedingungen werden ausgelassen.
•Alle zeitbasierten Bedingungen werden mit dem AND-Operator ausgewertet und müssen daher erfüllt sein.
•Alle mit dem AND-Operator ausgewerteten statistischen Bedingungen müssen erfüllt sein, und mindestens eine der mit dem OR-Operator ausgewerteten statistischen Bedingungen muss erfüllt sein.
•Gemeinsam festgelegte statistische und zeitbasierte Bedingungen werden mit dem AND-Operator ausgewertet und müssen daher erfüllt sein. Nur in diesem Fall wird der Task ausgeführt.
Wenn eine der definierten Bedingungen erfüllt wird, wird die angehäufte Information für alle Beobachter zurückgesetzt (der Zähler startet erneut bei 0). Dies gilt für zeitbasierte und für statistische Bedingungen. Diese Informationen werden auch zurückgesetzt, wenn Agent oder ESET PROTECT Server neu gestartet werden. Alle Änderungen an einem Trigger führen zum Zurücksetzen des Triggerstatus. Es empfiehlt sich, nur eine statistische Bedingung und mehrere zeitbasierte Bedingungen zu verwenden. Mehrere statistische Bedingungen können unnötige Komplikationen verursachen und das Ergebnis beeinträchtigen.
Voreinstellung
Sie haben drei Voreinstellungen zur Auswahl. Wenn Sie eine Voreinstellung auswählen, werden Ihre aktuellen Drosselungseinstellungen gelöscht und durch die Werte der Voreinstellung ersetzt. Diese Werte können anschließend angepasst und verwendet werden. Sie können jedoch keine neue Voreinstellung erstellen.
Zeitbasierte Kriterien
Zeitintervall (T2) – Trigger wird während des angegebenen Zeitraums einmal ausgelöst. Wenn dieser Wert beispielsweise auf zehn Sekunden festgelegt wird und in dieser Zeit zehn Aufrufe stattfinden, löst nur der erste Aufruf das Ereignis aus.
Sie müssen die Drosselung mit zeitbasierten Kriterien konfigurieren, um die Taskausführung auf einmal alle 1 Minuten zu begrenzen (ein Schlosssymbol weist auf die Einschränkung hin): •Server-Tasks (inklusive Berichterstellung) – alle Triggertypen. •Client-Tasks – geplante und CRON-Ausdrucks-Triggertypen. Wenn Sie ESET PROTECT von 8.x oder 9.x aktualisiert haben, wird der Zeitraum für alle vorhandenen Tasks mit einem Intervall von weniger als 1 Minuten automatisch auf 1 Minuten festgelegt. Der Mindestzeitraum von 15 Minuten gilt nicht für Benachrichtigungen. |
Zeitplan (T1) – Mit dieser Option können Sie Treffer nur innerhalb eines definierten Zeitintervalls zulassen. Klicken Sie auf Zeitraum hinzufügen, um ein neues Popupfenster zu öffnen. Wählen Sie eine Dauer in der ausgewählten Zeiteinheit aus. Wählen Sie eine Option aus der Liste Wiederholung aus und füllen Sie die Felder aus, die sich je nach ausgewählter Wiederholung ändern. Sie können die Wiederholung auch als CRON-Ausdruck angeben. Klicken Sie auf OK, um den Zeitraum zu speichern. Die Liste kann mehrere Zeitintervalle enthalten, die chronologisch geordnet werden.
Alle konfigurierten Bedingungen müssen erfüllt sein, um den Task auszulösen.
Statistische Kriterien
Bedingung – Statistische Bedingungen können mit dem logischen Operator
•Benachrichtigung verschicken, wenn alle statistischen Kriterien erfüllt sind - Der logische Operator AND wird für die Auswertung verwendet.
•Benachrichtigung verschicken, wenn mindestens ein statistisches Kriterium erfüllt ist – Der logische Operator OR wird für die Auswertung verwendet.
Anzahl Vorkommnisse (S1) – Nur jeden X. Treffer zulassen. Für den Wert 10 wird beispielsweise nur jeder zehnte Treffer gezählt.
Anzahl Vorkommnisse über ein Zeitintervall
Anzahl Vorkommnisse (S2) – Nur Treffer im definierten Zeitintervall zulassen. Mit dieser Option können Sie eine Mindesthäufigkeit von Ereignissen für die Auslösung des Tasks definieren. Mit dieser Einstellung können Sie beispielsweise festlegen, dass der Task ausgeführt wird, wenn das Ereignis innerhalb von einer Stunde 10 Mal auftritt. Beim Auslösen des Triggers wird der Zähler zurückgesetzt.
Zeitraum – Definieren Sie hier den Zeitraum für die oben beschriebene Option.
Eine dritte statistische Bedingung ist nur für manche Triggertypen verfügbar. Siehe Trigger > Triggertyp > Ereignislog-Trigger.
Ereignis-Log-Kriterien
Diese Kriterien werden von ESET PROTECT als drittes statistisches Kriterium (S3) ausgewertet. Der Operator für statistische Kriterien (AND / OR) wird verwendet, um alle drei statistischen Bedingungen gemeinsam auszuwerten. Wir empfehlen den Einsatz der Ereignis-Log-Kriterien zusammen mit dem Task Bericht generieren. Alle drei Felder werden für die Anwendung des Kriteriums benötigt. Der Symbolpuffer wird zurückgesetzt, wenn der Trigger aktiviert wird und der Puffer bereits ein Symbol enthält.
Bedingung – Legt fest, welches Ereignis bzw. welche Ereignisse die Bedingung auslösen. Folgende Optionen stehen zur Verfügung:
•Empfangen in Serie – Die angegebene Anzahl von Ereignissen muss nacheinander auftreten. Dabei muss es sich um separate Ereignisse handeln.
•Empfangen seit letzter Triggerausführung – Die Bedingung wird ausgelöst, wenn die angegebene Anzahl separater Ereignisse seit dem letzten Auslösen des Tasks erreicht wird.
Anzahl Vorkommnisse – Geben Sie an, nach wie vielen separaten Ereignissen mit den ausgewählten Symbolen der Task ausgeführt werden soll.
Symbol – Je nach dem im Menü Trigger ausgewählten Log-Typ können Sie ein Symbol festlegen, nach dem Sie anschließend im Log suchen können. Klicken Sie auf Auswählen, um das Menü anzuzeigen. Klicken Sie auf Entfernen, um das ausgewählte Symbol zu entfernen.
Im Zusammenhang mit einem Server-Task werden alle Clientcomputer berücksichtigt. Es ist unwahrscheinlich, dass mehr unterschiedliche Symbole in einer Zeile auftreten. Verwenden Sie die Einstellung Empfangen in Serie nur in entsprechenden Fällen. Ein fehlender Wert (n/a) wird als nicht eindeutig betrachtet, und der Puffer wird in diesem Fall zurückgesetzt. |
Zusätzliche Eigenschaften
Wie bereits erwähnt, löst nicht jedes Ereignis eine Triggeraktivierung aus. Mögliche Aktionen für Ereignisse, die keinen Trigger aktivieren, sind Folgende:
•Wenn mehr als ein Ereignis übersprungen wird, die letzten N Ereignisse in einem Ereignis zusammenfassen (Daten unterdrückter Treffer speichern) [N <= 100].
•Für N == 0 wird nur das letzte Ereignis verarbeite (N steht für die Verlaufslänge, das letzte Ereignis wird immer verarbeitet).
•Alle Ereignisse, die keinen Trigger aktivieren, werden zusammengeführt (den letzten Treffer mit N verstrichenen Treffern zusammenführen).
Wenn ein Trigger zu häufig ausgelöst wird oder Sie weniger Benachrichtigungen erhalten möchten, haben Sie die folgenden Möglichkeiten:
•Wenn eine Benachrichtigung nicht für jedes einzelne Ereignis, sondern nur bei mehreren Ereignissen ausgelöst werden soll, definieren Sie eine statistische Bedingung S1.
•Wenn der Trigger nur nach einer Gruppe von Ereignissen ausgelöst werden soll, verwenden Sie die statistische Bedingung S2.
•Wenn Ereignisse mit unerwünschten Werten ignoriert werden sollen, definieren Sie die statistische Bedingung S3.
•Wenn Ereignisse außerhalb eines bestimmten Zeitfensters (beispielsweise außerhalb der Arbeitszeiten) ignoriert werden sollen, definieren Sie eine zeitbasierte Bedingung T1.
•Um ein Mindestintervall zwischen den Triggeraktivierungen festzulegen, verwenden Sie die zeitbasierte Bedingung T2.
Diese Bedingungen können auch kombiniert werden, um eine komplexere Drosselung zu definieren. Weitere Informationen finden Sie in den Drosselungsbeispiele. |