Додаткові налаштування – Обмеження виконання завдання
Обмеження виконання завдання використовується, колі необхідно перервати виконання завдання. Зазвичай це потрібно, коли завдання викликає подія, яка занадто часто виникає. За певних обставин обмеження виконання завдання може запобігти спрацюванню тригера. Після кожного спрацьовування тригера той оцінюється за схемою нижче. Запустити виконання завдання можуть лише ті тригери, що відповідають зазначеним умовам. Якщо жодних умов обмеження не встановлено, усі тригери запускають завдання.
Існує три типи умов обмеження виконання завдання:
•Критерії, засновані на часі
•Статистичні критерії
•Критерії журналу подій
Для виконання завдання:
•Воно має відповідати всім типам умов.
•Необхідно встановити умови (якщо умова порожня, її буде пропущено).
•Має бути виконано всі засновані на часі умови, що керуються оператором AND.
•Має бути виконано всі статистичні умови, що керуються оператором AND, а також принаймні одна статистична умова з оператором OR.
•Має бути виконано встановлені разом статистичні та засновані на часі умови, що керуються оператором AND. Лише після цього буде виконано завдання.
Якщо виконується будь-яка з визначених умов, накопичення спостерігачів скидається (підрахунок починається з 0). Це стосується як заснованих на часі, так і статистичних умов. Ця інформація також скидається в разі перезавантаження агента або сервера ESET PROTECT. У разі зміни тригера його статус скидається. Рекомендується використовувати лише одну статистичну умову та декілька заснованих на часі умов. Використання кількох статистичних умов може спричинити зайві ускладнення та змінити результати спрацьовування тригера.
Попередньо визначені параметри
Доступні три варіанти (див. нижче). Коли ви вибираєте попередню визначену настройку, вона замінює поточні параметри обмеження виконання завдання. Нові значення можна модифікувати перед використанням, однак створити нову попередню визначену настройку неможливо.
Критерії, засновані на часі
Період часу (T2) – дозволяє одне спрацьовування тригера протягом зазначеного періоду часу. Якщо, наприклад, для цього параметра встановлено значення в десять секунд, і за цей час умови для спрацьовування тригера виникнуть десять разів, лише перша з них запустить тригер.
Щоб виконувати завдання не частіше одного разу протягом 1 хвилини, налаштуйте обмеження виконання завдання за часовим критерієм (піктограма блокування означає обмеження): •Завдання сервера (зокрема, створення звітів): усі типи тригерів. •Завдання клієнта: типи тригерів За розкладом та Інструкція CRON. Після оновлення з ESET PROTECT On-Prem 8.x або 9.x до всіх наявних завдань, для яких задано інтервал часу тривалістю менше 1 хвилин, буде автоматично застосовано інтервал часу тривалістю 1 хвилин. Мінімальний період часу тривалістю 15 хвилин не застосовується до сповіщень. |
Розклад (T1) – дозволяє тригерам спрацьовувати лише у визначений часовий діапазон. Натисніть Додати період, щоб відкрити спливаюче вікно. Установіть Тривалість діапазону у вибраних одиницях виміру часу. Виберіть один варіант зі списку Повторний випадок і заповніть поля відповідно до вибраного випадку. Ви також можете додати повторний випадок у вигляді інструкції CRON. Натисніть OK, щоб зберегти діапазон. Можна додати до списку кілька часових діапазонів, які буде відсортовано в хронологічному порядку.
Для виконання завдання має бути виконано всі налаштовані умови.
Статистичні критерії
Умова – статистичні умови можна комбінувати за допомогою наступних параметрів:
•Надсилати сповіщення в разі відповідності всім статистичним критеріямAND: логічний оператор, що використовується для оцінки
•Надсилати сповіщення в разі відповідності хоча б одному статистичному критерію - OR: логічний оператор, що використовується для оцінки
Кількість випадків (S1) – дозволяє розглядати лише кожну певну умову для спрацьовування тригера. Наприклад, якщо встановити для цього параметра значення «10», буде зараховано лише кожну десяту умову.
Кількість випадків протягом періоду часу
Кількість випадків (S2): дозволяє тригеру спрацьовувати протягом визначеного періоду часу. Визначте мінімальну частоту подій для запуску завдання. Наприклад, ви можете використовувати цей параметр, щоб дозволити виконання завдання в разі 10 виявлень події протягом однієї години. У разі спрацьовування тригера лічильник скидається.
Період часу – Визначення періоду часу для описаної вище опції.
Третя статистична умова доступна лише для певних типів тригерів. Див. Тригер > Тип тригера > Тригер журналу подій.
Критерії журналу подій
Ці критерії оцінюються ESET PROTECT On-Prem як треті статистичні критерії (S3). Оператор застосування статистичних критеріїв (AND/OR) застосовується для оцінки всіх трьох статистичних умов разом. Рекомендується використовувати критерії журналу подій у поєднанні із завданням на створення звіту. Для використання критеріїв слід заповнити всі три поля. Якщо після спрацьовування тригера символ вже знаходиться в буфері, цей буфер символів скидається.
Умова – визначає, які події або набори подій становлять умову. Доступні такі опції:
•Отримана поспіль – зазначена кількість подій повинна відбуватися послідовно. Ці події мають бути унікальними.
•Отримано з моменту останнього спрацьовування тригера – умова виникає в разі досягнення вибраної кількості унікальних подій за час, що минув після останнього виконання завдання.
Кількість випадків – уведіть кількість унікальних подій із вибраними символами, необхідну для виконання завдання.
Символ – відповідно до типу журналу, який встановлено в меню тригера, можна вибрати символ журналу для подальшого виконання пошуку. Натисніть Вибрати, щоб відобразити меню. Щоб видалити вибраний символ, натисніть Видалити.
У завданні сервера враховуються всі клієнтські комп’ютери. Малоймовірно, що на них буде отримано більшу кількість особливих символів поспіль. Використовуйте параметр Отримана поспіль обґрунтовано. Відсутнє значення (–) вважається «неунікальним», тому в цьому разі скидається буфер. |
Додаткові властивості
Як зазначено вище, не кожна подія призводить до спрацьовування тригера. Можливі дії, що не запускають тригери:
•Якщо пропущено більше однієї події, згрупуйте останні N подій в одну (із даними про приховані події) [N <= 100]
•Для N == 0 обробляється лише остання подія (N означає довжину журналу, де завжди обробляється остання подія)
•Усі події, що не запускають тригери, об’єднуються (остання подія об’єднується з N історичних подій)
Якщо тригер спрацьовує занадто часто або ви хочете отримувати повідомлення рідше, врахуйте наведені нижче рекомендації.
•Якщо користувач хоче отримувати повідомлення лише якщо подій більше, ніж одна, див. статистичну умову S1.
•Якщо тригер повинен спрацьовувати лише тоді, коли відбувається скупчення подій, див. статистичну умову S2.
•Якщо події з небажаними значеннями слід ігнорувати, див. статистичну умову S3.
•Якщо події, що відбуваються не впродовж певного часу (наприклад, робочого), слід ігнорувати, див. засновану на часі умову T1.
•Щоб встановити мінімальний час між спрацьовуваннями тригера, використовуйте засновану на часі умову T2.
Умови також можна поєднувати для створення складніших сценаріїв обмеження виконання завдання. Докладнішу інформацію див. у прикладах обмеження виконання завдання. |