Rozšířená nastavení - Zabránění aktivace podmínky spuštění
Throttling se používá v případech, kdy potřebujete omezit spouštění úlohy. Obvykle v případě úloh, jejichž podmínka spuštění je vázána na se opakující událost. Každá podmínka spuštění je vyhodnocována podle níže uvedeného schématu. Ke spuštění úlohy dojde pouze při splnění všech definovaných podmínek. Pokud nejsou definovány žádná kritéria pro zabránění aktivace podmínky spuštění, úloha se vždy spustí. Časově definované podmínky mají přednost před statistickými podmínkami
K dispozici jsou následující podmínky:
•Časové kritérium
•Statistické kritérium
•Kritérium protokolu událostí
Aby došlo k aktivaci podmínky a spuštění úlohy:
•Musí být splněny všechny podmínky.
•Všechny podmínky musí být definovány. Pokud je jedna prázdná, bude přeskočena.
•Všechny časové podmínky musí být splněny – jsou vyhodnocovány logickým operátorem AND.
•Při použití logického operátoru AND musí být splněny všechny statistické podmínky. Při použití operátoru OR musí být splněna alespoň jedna statistická podmínka.
•Statistické i časové podmínky musí být splněny – jsou vyhodnocovány logickým operátorem AND.
Pokud jsou všechny podmínky splněny, stavové informace všech observerů se vynulují. To platí pro časové i statistické podmínky. Informace se také resetují při restartování agenta nebo ESET PROTECT Serveru. K resetování dojde také při každé změně podmínky spuštění. Doporučujeme vždy používat jednu statistickou podmínky a více časových. Více statistických podmínek může vést k neočekávaným spuštěním úlohy.
Předvolba
K dispozici jsou tři předdefinované předvolby. Po vybrání předvolby se přepíše výchozími hodnotami vámi zadané nastavení pro zabránění nadměrné aktivace podmínky spuštění. Načtené hodnoty si můžete dle potřeby modifikovat, ale není možné vytvářet vlastní předvolby.
Časové kritérium
Časové období (T2) – definujte časový úsek, za který chcete podmínku aktivovat pouze jednou. Například zadáte-li 10 sekund a během této doby se událost vyskytne vícekrát, k aktivaci podmínky dojde pouze jednou.
Pro zabránění spuštění úlohy častěji, než jednou za minutu, je nutné nastavit časové kritérium (restrikce znázorněna ikonou zámku ): •Serverové úlohy (včetně generování přehledu) – všechny typy podmínek spuštění. •Klientské úlohy – naplánované typy podmínek spuštění a definované pomocí CRON výrazu. Po provedení aktualizace z ESET PROTECT On-Prem 8.x nebo 9.x se minutový limit aplikuje automaticky na všechny existující úlohy, pokud se mají spouštět v kratším intervalu než jedna minuta. Minimální limit 15 minut není platný pro oznámení. |
Naplánovat (T1) – definujte časové úseky pro aktivaci podmínky. Po kliknutí na Přidat období se zobrazí dialogové okno , ve kterém můžete definovat rozsah času, opakování a další parametry dle vybraných parametrů Zadejte vámi požadovaný rozsah času. Z menu Opakování vyberte jednu z možností a dále nastavte zobrazené možnosti. Sledované období můžete definovat také CRON výrazem. Parametry uložíte kliknutím na tlačítko OK. Přidat můžete více rozsahů– řazeny jsou chronologicky.
Pro aktivaci podmínky musí být splněna všechna definovaná kritéria.
Statistické kritérium
Podmínka – statistické podmínky můžete kombinovat:
•Odeslat oznámení při splnění všech statistických kritérií - při vyhodnocování je použit logický operátor OR.
•Odeslat oznámení při splnění alespoň jednoho statistického kritéria – při vyhodnocování je použit logický operátor OR.
Počet výskytů (S1) – povoleno bude pouze každé X-té provedení. Například zadáte-li hodnotu 10, započítán bude pouze každý desátý tik.
Počet výskytů ve sledovaném období
Počet výskytů (S2) – započítány budou pouze tiky ve stanoveném období. Tímto definujete minimální opakování události pro spuštění úlohy. Například zadáte-li hodnotu 10, povolíte spuštění úlohy, pokud se událost ve sledovaném období vyskytla 10krát. Čítač se vynuluje při každém aktivování podmínky.
Časové období – zadejte období, ve kterém chcete výskyty sledovat.
Třetí statistické kritérium (kritérium protokolu událostí) je dostupné pouze pro některé typy podmínek spuštění. Přejděte do sekce Podmínka spuštění > Typ podmínky spuštění > Šablona protokolu událostí.
Kritéria protokolu
Toto kritérium vyhovuje ESET PROTECT On-Prem jako třetí statistické kritérium (S3). Operátor (AND / OR) definovaný v sekci Použití statistického kritéria se aplikuje na všechny tři statistické podmínky. Toto kritérium doporučujeme použít při definování serverové úlohy na Generování přehledu. Při sestavování kritéria musíte vyplnit všechna níže uvedená pole. Při aktivaci podmínky dojde k resetování čítače.
Podmínka – definujte události nebo sadu událostí, které aktivují podmínku. Dostupné možnosti:
•Vyskytne se po sobě v řadě – definujte počet událostí, které se musí pro aktivaci podmínky vyskytnout po sobě v řadě. Události musí být unikátní.
•Vyskytne se od posledního výskytu – definujte počet událostí, které se mají vyskytnout, aby došlo k aktivaci podmínky.
Počet výskytů – zadejte číslo, reprezentující počet charakteristických událostí s daným symbolem, které se mají vyskytnout pro aktivaci podmínky.
Symbol – v závislosti na vybraném typu definujte symbol, který se bude v protokolu vyhledávat, který je použit v podmínce spuštění. Pro zobrazení nabídky klikněte na Vybrat. Symbol můžete odstranit kliknutím na Odebrat.
Pokud použijete kritérium protokolu při definování podmínky spuštění serverové úlohy, do vyhodnocování jsou zahrnuty data za všech zařízení. To může vést k velkému množství unikátních symbolů v řadě. Použití možnosti Vyskytne se po sobě v řadě volte výhradně v případě, kdy to má smysl. Chybějící hodnota (N/A) nebude považována za "unikátní", proto v takovém případě dojde k resetování čítače. |
Další parametry
Jak je popsáno výše, ne každý výskyt události aktivuje podmínku spuštění. Možné akce pro události, které neaktivovaly podmínku:
•Pokud došlo k přeskočení více než jedné události, seskupí se N událostí do jedné (uložená data potlačených tiků) [N <= 100].
•Pokud se N == 0, zpracuje se pouze poslední událost (N znamená historii výskytů, kdy je vždy zpracována poslední událost).
•Sloučí se všechny události, které neaktivovaly podmínku spuštění (poslední tik se sloučí s N historickými tiky).
V případě, že se podmínky spuštění aktivují příliš často, zkuste postupovat podle následujících kroků:
•Pokud chcete podmínku aktivovat pouze v případě, že se vyskytne více stejných událostí, nikoli jedna, použijte statistické kritérium S1.
•Pokud chcete podmínku aktivovat pouze při výskytu clusteru událostí, použijte statistické kritérium S2.
•Pokud chcete ignorovat události s nechtěnými hodnotami, použijte statistické kritérium S3.
•Pokud chcete ignorovat události, které se vyskytují v čase, který pro vás není relevantní (například pracovní hodiny), použijte časové kritérium T1.
•Pro nastavení minimálního časového intervalu mezi dvěma podmínkami spuštění použijte časové kritérium T2.
Jednotlivé podmínky můžete libovolně kombinovat a vytvořit tak komplexní scénáře pro aktivaci podmínky spuštění úlohy. Více informací a příklady použití naleznete v této kapitole. |