ESET 联机帮助

搜索 English
选择类别
选择主题

规则和逻辑连接符

规则包含项目、逻辑连接符(逻辑运算符)和定义的值。

当单击 添加规则时,一个窗口即会打开,其中包含分为各类别的项目列表。例如:

已安装软件 > 应用程序名称

网络适配器 > MAC 地址

操作系统版本 > 操作系统名称

可以在此 ESET 知识库文章中浏览所有可用规则的列表。

要创建规则,请选择项目、选择逻辑运算符并指定值。将根据您指定的值和使用的逻辑运算符计算规则。

可接受的值类型包括数字、字符串、枚举、IP 地址、产品掩码和计算机 ID。每种值类型关联的逻辑运算符各不相同,并且 ESET PROTECT Web 控制台将仅自动显示受支持的逻辑运算符。

icon_equals 等于

符号值和模板值必须匹配。比较字符串时不区分大小写。

icon_greater_than 大于

符号值必须大于模板值。还可用于为 IP 地址符号创建范围比较。

icon_greater_than_or_equal 大于或等于

符号值必须大于或等于模板值。还可用于为 IP 地址符号创建范围比较。

icon_less_than 小于

符号值必须小于模板值。还可用于为 IP 地址符号创建范围比较。

icon_less_than_or_equal 小于或等于

符号值必须小于或等于模板值。还可用于为 IP 地址符号创建范围比较。

icon_contains 包含

符号值包含模板值。对于字符串,这将搜索子字符串。执行搜索时不区分大小写。

icon_starts_with 开头为

符号值具有的文本前缀与模板值相同。比较字符串时不区分大小写。设置搜索字符串中的前几个字符,例如“Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319”,其前缀即为“Micros”、“Micr”或“Microsof”等。

icon_ends_with 结尾为

符号值具有的文本后缀与模板值相同。比较字符串时不区分大小写。设置搜索字符串中的前几个字符,例如“Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319”,其后缀即为“319”或“0.30319”等。

icon_has_mask 有掩码

符号值必须匹配模板中定义的掩码。掩码格式允许任意字符,特殊符号“*” - 表示零个、一个或多个字符,而“?”仅表示一个字符,例如:“6.2.*”或“6.2.2033.?”。

icon_eset 正则表达式

符号值必须匹配模板的正则表达式。正则表达式必须以 Perl 格式书写。


note

正则表达式、regexregexp 是定义搜索模式的一系列字符。例如,gray|greygr(a|e)y 是相等的模式,都匹配这两个词:“gray”、“grey”。

icon_is_one_of 属于

符号值必须匹配模板中某个列表的任意值。若要添加一个项目,请单击添加。列表中新项目中的每一行。比较字符串时不区分大小写。

icon_is_one_of_string_mask 属于(字符串掩码)

符号值必须匹配模板中某个列表的任意掩码。比较字符串时区分大小写。示例:*endpoint-pc*, *Endpoint-PC*。

icon_has_value 包含值

 


note

时间规则允许选中测量经过的时间复选框,以基于自特定事件以来经过的时间创建“动态组”模板。

否定运算符:


important

必须谨慎使用否定运算符,因为在诸如“已安装应用程序”等多行日志的情况下,所有行将根据这些条件进行测试。请查看内含的示例(模板规则评估动态组模板 - 示例)以了解必须如何使用否定运算符或否定运算才可以获得希望的结果。

icon_does_not_equal 不等于

符号值和模板值必须不匹配。比较字符串时不区分大小写。

icon_contains 不包含

符号值不包含模板值。执行搜索时不区分大小写。

icon_starts_with 开头不为

符号值没有模板值所含有的相同文本前缀。比较字符串时不区分大小写。

icon_ends_with 结尾不为

符号值没有模板值所含有的文本后缀。比较字符串时不区分大小写。

icon_has_mask 没有掩码

符号值不得匹配模板中定义的掩码。

icon_eset 不是正则表达式

符号值不得匹配模板的正则表达式。正则表达式必须以 Perl 格式书写。提供的否定运算有助于无需重写即可否定匹配正则表达式。

icon_is_not_one_of 不属于

符号值不得匹配模板中某个列表的任意值。比较字符串时不区分大小写。

icon_is_one_of_string_mask 不属于(字符串掩码)

符号值不得匹配模板中某个列表的任意掩码。

icon_has_no_value 不包含值