Règles et connecteurs logiques
Une règle est composée d'un élément, d'un opérateur logique et d'une valeur définie.
Lorsque vous cliquez sur Ajouter une règle, une fenêtre s'ouvre. Elle contient une liste d'éléments divisés en catégorie. Par exemple :
Logiciel installé > Nom de l'application
Cartes réseau > Adresse MAC
Édition du SE > Nom du SE
Vous pouvez parcourir la liste de toutes les règles disponibles dans cet article de la base de connaissances ESET.
Pour créer une règle, sélectionnez un élément, choisissez un opérateur logique et spécifiez une valeur. La règle est évaluée selon la valeur spécifiée et l'opérateur logique utilisé.
Les types de valeurs acceptées sont les suivants : nombre(s), chaîne(s), énumération(s), adresse(s) IP, masques de produit et ID d'ordinateur. Chaque type de valeur est associé à des opérateurs logiques différents. La console Web de ESET PROTECT n'affiche automatiquement que les opérateurs pris en charge.
égal |
les valeurs du symbole et du modèle doivent correspondre. Les chaînes sont comparées sans tenir compte de la casse. |
|||
supérieur à |
La valeur du symbole doit être supérieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. |
|||
supérieur ou égal |
la valeur du symbole doit être supérieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. |
|||
inférieur à |
La valeur du symbole doit être inférieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. |
|||
inférieur ou égal |
la valeur du symbole doit être inférieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. |
|||
contient |
la valeur du symbole contient celle du modèle. Dans le cas de chaînes, la recherche une se fait pour une sous-chaîne. La recherche ne respecte pas la casse. |
|||
commence par |
la valeur du symbole contient le même préfixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le préfixe est "Micros", "Micr", "Microsof", etc. |
|||
se termine par |
la valeur du symbole contient le même postfixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de recherche, par exemple, pour « Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 », le postfixe est « 319 » ou « 0.30319 », etc. |
|||
Possède un masque |
la valeur du symbole doit correspondre à un masque défini dans un modèle. La mise en forme du masque autorise n'importe quel caractère, les symboles spéciaux « * » (zéro, un ou plusieurs caractères) et « ? » (un caractère uniquement, par exemple : "6.2.*" ou "6.2.2033.?". |
|||
Exrég |
La valeur du symbole doit correspondre à l'expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl.
|
|||
est l'un des |
la valeur du symbole doit correspondre à n'importe quelle valeur d'une liste d'un modèle. Cliquez sur Ajouter pour ajouter un élément. Chaque ligne d'un nouvel élément de la liste. Les chaînes sont comparées sans tenir compte de la casse. |
|||
est l'un des (masque de chaîne) |
La valeur du symbole doit correspondre à n’importe quel masque d’une liste dans un modèle. Les chaînes sont comparées en tenant compte de la casse. Exemples : *endpoint-pc*, *Endpoint-PC*. |
|||
a une valeur |
|
Les règles temporelles permettent de cocher la case Mesurer le temps écoulé pour créer un modèle de groupe dynamique basé sur le temps écoulé depuis un événement spécifique. |
Opérateurs inversés:
Il faut utiliser les opérateurs inversés avec précaution, parce que dans un cas de journaux à lignes multiples, comme « Application installée », toutes les lignes sont évaluées par ces conditions. Veuillez consulter les exemples inclus (Évaluation des règles de modèle et Modèle de Groupe dynamique - exemples pour voir comment les opérateurs inversés ou les opérations inversées doivent être utilisés pour obtenir les résultats escomptés. |
n’est pas égal |
Les valeurs du symbole et du modèle doivent être différentes. Les chaînes sont comparées sans tenir compte de la casse. |
ne contient pas |
la valeur du symbole ne contient pas la valeur du modèle. La recherche ne respecte pas la casse. |
ne commence pas par |
la valeur du symbole ne contient pas le même préfixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. |
ne se termine pas par |
la valeur du symbole ne contient pas de postfixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. |
ne contient pas de masque |
la valeur du symbole ne doit pas correspondre à un masque défini dans un modèle. |
n'est pas une expression rationnelle |
la valeur du symbole ne doit pas correspondre à une expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl. L'opération inversée est fournie pour aider à annuler les expressions régulières correspondantes sans réécriture. |
n'est pas l'un des |
la valeur du symbole ne doit correspondre à aucune valeur de la liste d'un modèle. Les chaînes sont comparées sans tenir compte de la casse. |
n'est pas l'un des (masque de chaîne) |
la valeur du symbole ne doit correspondre à aucun masque d'une liste d'un modèle. |
n'a pas de valeur |
|