Правила и логические соединители
Правило состоит из элемента, логического соединителя (логического оператора) и определенного значения.
Если щелкнуть правило + Добавить правило, откроется всплывающее окно со списком элементов, которые разделены на категории. Например,
Установленное ПО > Имя приложения
Сетевые адаптеры > MAC-адрес
Версия ОС > Имя ОС
В этой статье базы знаний ESET можно просмотреть список всех доступных правил.
Чтобы создать правило, выберите элемент, выберите логический оператор и укажите значение. Правило будет оцениваться в соответствии с указанным значением и используемым логическим оператором.
Допустимы такие типы значений: числа, строки, перечисления, IP-адреса, маски продуктов и идентификаторы компьютеров. Каждый тип значения имеет различные логические операторы, связанные с ним, и веб-консоль ESET PROTECT автоматически будет отображать только поддерживаемые типы.
•«= (равно)» — значения символа и шаблона должны совпадать. Строки сравниваются без учета регистра.
•«> (больше)» — значение символа должно быть больше значения шаблона. Может также использоваться для создания диапазона сравнения для символов IP-адресов.
•«≥ (больше или равно)» — значение символа должно быть больше значения шаблона или равно ему. Может также использоваться для создания диапазона сравнения для символов IP-адресов.
•«< (меньше)» — значение символа должно быть меньше значения шаблона. Может также использоваться для создания диапазона сравнения для символов IP-адресов.
•«≤ (меньше или равно)» — значение символа должно быть меньше значения шаблона или равно ему. Может также использоваться для создания диапазона сравнения для символов IP-адресов.
•«содержит» — значение символа содержит значение шаблона. В случае строки выполняется поиск подстроки. Поиск выполняется без учета регистра.
•«с префиксом» — значение символа имеет тот же текстовый префикс, что и значение шаблона. Строки сравниваются без учета регистра. Задайте несколько первых символов из строки поиска, например для строки «Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319» префикс означает «Micros», «Micr», «Microsof» и т. д.
•«с суффиксом» — значение символа имеет тот же текстовый суффикс, что и значение шаблона. Строки сравниваются без учета регистра. Задайте несколько первых символов из строки поиска, например для строки «Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319» используется суффикс 319, 0.30319 и т. д.
•«с маской» — значение символа должно совпадать с маской, определенной в шаблоне. В формате маски разрешены любые символы, специальные символы «*» (нуль, один или несколько символов) и «?» (точно один символ) и т. д.: "6.2.*" или "6.2.2033.?".
•«регулярное выражение» — значение символа должно совпадать с регулярным выражением из шаблона. Регулярное выражение должно быть написано в формате Perl.
|
Регулярное выражение, regex или regexp , — это последовательность символов, которая определяет шаблон поиска. Например, gray|grey и gr(a|e)y — это эквивалентные шаблоны, которые соответствуют двум словам: gray иgrey. |
•«один из» — значение символа должно совпадать с любым значением списка в шаблоне. Щелкните + Добавить, чтобы добавить элемент. Каждая строка является новым элементом в списке. Строки сравниваются без учета регистра.
•«один из (маска строки)» — значение символа должно совпадать с любой маской из списка в шаблоне. Строки сравниваются с учетом регистра. Примеры: *endpoint-pc*, *Endpoint-PC*.
•«имеет значение»
Операторы логического отрицания:
|
Отрицательные операторы должны использоваться с осторожностью, поскольку для журналов с несколькими строками, например «Установленное приложение», все строки проверяются данными условиями. Обратите внимание на приведенные примеры (Оценка правил шаблона и Шаблон динамической группы (примеры)), чтобы узнать, как необходимо использовать отрицательные операторы или отрицательные операции, чтобы получить ожидаемые результаты. |
•«≠ (не равно)» — значения символа и шаблона не должны совпадать. Строки сравниваются без учета регистра.
•«не содержит» — значение символа не содержит значение шаблона. Поиск выполняется без учета регистра.
•«не содержит префикс» — значение символа не содержит такой же текстовый префикс в качестве значения шаблона. Строки сравниваются без учета регистра.
•«не содержит суффикс» — значение символа не содержит текстовый суффикс в качестве значения шаблона. Строки сравниваются без учета регистра.
•«не содержит маску» — значение символа не должно совпадать с маской, определенной в шаблоне.
•«не регулярное выражение» — значение символа не должно совпадать с регулярным выражением из шаблона. Регулярное выражение должно быть написано в формате Perl. Логический оператор отрицания предусмотрен для того, чтобы помочь выполнять операцию «НЕ» с совпадающими регулярными выражениями без перезаписи.
•«не один из» — значение символа не должно совпадать с любым значением из списка в шаблоне. Строки сравниваются без учета регистра.
•«не один из (маска строки)» — значение символа не должно совпадать с любой маской из списка в шаблоне.
•«не содержит значение»