Дополнительные параметры — регулирование
Регулирование применяется для ограничения выполнения задачи. Обычно регулирование используется, когда задача срабатывает по часто происходящему событию. В некоторых ситуациях регулирование позволяет предотвратить срабатывание триггера. При каждом срабатывании триггера он оценивается по указанной ниже схеме. Задачу выполняют только триггеры, соответствующие заданным условиям. Если условия регулирования не заданы, задачу выполняют все события триггера.
Существует два типа условий для регулирования:
•Часовые критерии
•Статистические критерии
•Критерии журнала событий
Для выполнения задачи:
•она должна соответствовать обоим типам условий;
•должны быть заданы условия (если условие пусто, оно пропускается);
•все основанные на времени условия должны выполняться, поскольку они оцениваются с оператором AND;
•все статистические условия, оцененные с оператором AND, должны выполняться, а также должно выполняться как минимум одно статистическое условие с оператором OR;
•должны выполняться статистические и основанные на времени условия, заданные вместе, так как они оцениваются с оператором AND, и только в таком случае задача выполняется.
Если какое-либо из заданных условий выполняется, накопленная информация для всех наблюдателей сбрасывается (наблюдение начинается с 0). Это справедливо и для основанных на времени, и для статистических условий. Информация сбрасывается также при перезагрузке агента или ESET PROTECT Server. Внесение в триггер любых изменений приводит к сбрасыванию его состояния. Рекомендуется использовать только одно статистическое условие и несколько часовых. Несколько статистических условий могут привести к излишним осложнениям и искажению результатов.
Предустановка
Доступны три предустановки. При выборе предустановки текущие настроенные параметры очищаются и заменяются предварительно установленными значениями. В дальнейшем эти значения можно изменять и использовать, однако создать новую предустановку нельзя.
Часовые критерии
Период времени (T2). Позволяет триггеру сработать один раз в течение указанного периода времени. Если, например, установленное значение равно десяти секундам и за это время возникнут десять вызовов, только первый из них запустит событие.
Необходимо настроить ограничение с использованием временных критериев, чтобы задача выполнялась не чаще раза в минуту (значок замка означает ограничение): •Серверные задачи (в том числе создание отчетов) — все типы триггеров. •Клиентские задачи — следующие типы триггеров: Запланировано и CRON-выражение. После обновления с ESET PROTECT On-Prem 8.x или 9.x значение «1 минут» будет автоматически применено ко всем существующим задачам, для которых задан период времени менее 1 минут. Минимальный 15-минутный период времени не применяется к уведомлениям. |
Расписание (T1). Ограничивает срабатывание рамками указанного временного диапазона. Щелкните Добавить период, чтобы открыть всплывающее окно. Задайте Продолжительность диапазона в выбранных единицах времени. Выберите вариант в списке Повторение и заполните поля в зависимости от выбранного повторения. Повторение также можно определить в форме CRON-выражения. Нажмите кнопку ОК, чтобы сохранить диапазон. В список можно добавить несколько временных диапазонов. Они будут расположены в хронологическом порядке.
Для запуска задачи необходимо, чтобы были выполнены все заданные условия.
Статистические критерии
Условие. Статистические условия можно сочетать следующим образом:
•Отправить уведомление, если выполняется хотя бы один статический критерий — для оценки используется логический оператор «И»
•Отправить уведомление, если выполняется хотя бы один статический критерий — для оценки используется логический оператор «ИЛИ»
Количество повторов (S1). Позволяет учитывать каждое срабатывание с интервалом в X повторов. Например, если указать число десять, учитываться будет только каждое десятое срабатывание триггера.
Число вхождений на протяжении установленного промежутка времени
Количество повторов (S2). Триггер будет срабатывать только в указанный период времени. Это определяет минимальную частоту событий, запускающих задачу. Например, с помощью этого параметра можно разрешить выполнение задачи, если за час событие обнаруживается 10 раз. Срабатывание триггера вызывает сброс счетчика.
Период времени. Определяет период времени для вышеописанного параметра.
Третье статистическое условие доступно только для некоторых типов триггеров. См. Триггер > Тип триггера > Триггер журнала событий.
Критерии журнала событий
Эти критерии вычисляются ESET PROTECT On-Prem в качестве третьего статистического критерия (S3). Оператор Применение статистических критериев (И / ИЛИ) применяется для оценки всех трех статистических условий вместе. Критерии журнала событий рекомендуем использовать с задачей Создание отчета. Для работы критериев требуются все три поля. Буфер символов сбрасывается, если триггер срабатывает и при этом в буфере уже есть символ.
Условие. Определяет, какие события или наборы событий вызовут условие. Доступны следующие варианты.
•Получено подряд. Указанное количество событий должно произойти подряд. Эти события должны быть уникальными.
•Получено с момента последнего выполнения триггера. Условие срабатывает при достижении выбранного количества уникальных событий с момента последнего выполнения триггера.
Количество повторов. Введите число уникальных событий с выбранным символом, которое будет запускать задачу.
Символ. В соответствии с типом журнала, заданным в меню Триггер, можно выбрать символ в журнале, по которому затем будет выполняться поиск. Нажмите кнопку Выбрать, чтобы показать меню. Удалить выбранный символ можно с помощью кнопки Удалить.
При использовании с серверной задачей рассматриваются все клиентские компьютеры. Маловероятно получить большее количество отличительных символов в строке. Параметр Получено подряд следует использовать только в обоснованных случаях. Отсутствующее значение (Н/Д) не считается уникальным, и поэтому буфер сбрасывается на этом этапе. |
Дополнительные свойства
Как упоминалось выше, триггер активируется не каждым событием. По отношению к событиям, которые не активируют триггеры, можно поступить следующим образом.
•Если пропущено более одного события, сгруппируйте несколько последних (N) событий в одно (хранение сведений о подавленных тактах) [N <= 100].
•Если N = 0, обрабатывается только последнее событие (N указывает на временной период журнала; последнее событие обрабатывается всегда).
•Все события, которые не приводят к активации триггеров, объединяются (объединение последнего такта с имеющимися N тактами, сведения о которых хранятся в журнале).
Если триггер срабатывает слишком часто или нужно получать уведомления реже, рассмотрите следующие рекомендации.
•Если пользователь хочет реагировать только на несколько событий, см. статистическое условие S1.
•Если триггер должен срабатывать, только если происходит несколько событий, см. статистическое условие S2.
•Если события с нежелательными значениями должны игнорироваться, см. статистическое условие S3.
•Если события, происходящие вне указанного временного периода (например, рабочее время), должны игнорироваться, см. основанное на времени условие T1.
•Чтобы задать минимальное время между срабатываниями триггера, используйте основанное на времени условие T2.
Для создания более сложных сценариев регулирования условия можно сочетать. Дополнительные сведения см. в примерах регулирования. |