Configurações avançadas - Alternância
A alternância é usada para restringir uma tarefa de ser executada. A alternância normalmente é usada quando uma tarefa é acionada por um evento recorrente com frequência. Sob certas circunstâncias, a Alternância pode impedir que um acionador seja ativado. Cada vez que o acionador é acionado, ele é avaliado de acordo com o esquema abaixo. Apenas os acionadores que estão de acordo com condições especificadas podem então fazer a tarefa ser executada. Se nenhuma condição de alternância for definida, todos os eventos do acionador vão ser executados na tarefa.
Há três tipos de condições para Alternância:
1.Critérios baseados em tempo
2.Critérios estatísticos
3.Critérios de registro de evento
Para uma tarefa a ser executada:
•Ele tem que ser aprovado em todos os tipos de condições
•As condições devem ser definidas, se uma condição estiver vazia ela será omitida
•Todas as condições baseadas em tempo devem ser aprovadas, já que são avaliadas com o operador AND
•Todas as condições estatísticas avaliadas com o operador AND devem ser aprovadas, pelo menos uma condição estatística com o operador OR deve ser aprovada
•Condições estatísticas e baseadas em tempo devem ser aprovadas juntas, já que são avaliadas com o operador AND - apenas depois disso a tarefa é executada
Se qualquer uma das condições definidas for realizada, as informações empilhadas de todos os observadores são redefinidas (a contagem começa de 0). Isso vale para condições baseadas em tempo e também para condições estatísticas. Essas informações também são reiniciadas se o Agente ou Servidor ESET PROTECT forem reiniciados. Todas as modificações feitas em um acionador redefinem seu status. Recomendamos usar apenas uma condição estatística e várias condições baseadas em tempo. Várias condições estatísticas podem causar uma complicação desnecessária e podem alterar os resultados de acionador.
Pré-configurar
Existem três pré-configurações disponíveis. Quando você seleciona uma pré-configuração, suas configurações atuais de alternância são apagadas e substituídas pelos valores pré-definidos. Esses valores podem ser ainda mais modificador e usados, mas não é possível criar uma nova pré-configuração.
Critérios baseados em tempo
Período de tempo (T2) - Permite o acionamento uma vez durante o período de tempo especificado. Se, por exemplo, isso for configurado para dez segundos e durante esse tempo dez invocações acontecerem, apenas a primeira iria acionar o evento.
É preciso configurar o throttling com critérios baseados em tempo para restringir a execução da tarefa a no máximo uma vez a cada 15 minutos (um ícone de cadeado indica a restrição): •Tarefas do servidor (incluindo a geração de relatório) – todos os tipos de acionador. •Tarefas do cliente – tipos de acionador agendado e expressão CRON***. Se você atualizou do ESET PROTECT 8.x, 15 minutos serão aplicados automaticamente a todas as tarefas existentes com o período de tempo definido para menos de 15 minutos. O período de tempo mínimo de 15 minutos não se aplica às notificações. |
Agendar (T1) - Permite o acionamento apenas dentro do intervalo de tempo definido. Clique em Adicionar período e uma janela pop-up é exibida. Defina uma Duração de intervalo em unidades de tempo selecionadas. Selecione uma opção da lista de Recorrência e preencha os campos, que mudam de acordo com a recorrência selecionada. Também é possível definir a recorrência na forma de uma Expressão CRON. Clique em OK para salvar o intervalo. É possível adicionar vários intervalos de tempo na lista, eles serão organizados de forma cronológica.
Todas as condições configuradas devem ser cumpridas para acionar a tarefa.
Critérios estatísticos
Condição - Condições estatísticas podem ser combinadas usando:
•Enviar notificação quando todos os critérios estatísticos forem cumpridos - E o operador lógico é usado para avaliação
•Enviar notificação quando pelo menos um critério estatístico for cumprido - OU o operador lógico é usado para avaliação
Número de ocorrências (S1) - Permite apenas um acionamento a cada x ocorrências. Por exemplo, se o valor for dez, apenas o décimo acionamento vai contar.
Número de ocorrências em um período de tempo
Número de ocorrências (S2) – permite o acionamento apenas dentro de um período de tempo definido. Isso vai definir a frequência mínima de eventos para acionar a tarefa. Por exemplo, você pode usar essa configuração para permitir a execução da tarefa se o evento for detectado 10x em uma hora. Acionar o acionador provoca uma redefinição do contador.
Período de tempo - Define o período de tempo para a opção descrita acima.
Uma terceira condição estatística está disponível apenas para certos tipos de acionador. Veja o Acionador > Tipo de acionador > Acionador de registro de evento.
Critérios de registro de evento
Esses critérios são avaliados pelo ESET PROTECT como critérios estatísticos de terceiros (S3). O operador de Aplicação de critérios estatísticos (AND / OR) é aplicado para avaliar todas as três condições estatísticas juntas. Recomendamos usar os critérios do relatório de eventos em combinação com a tarefa Gerar relatório. Todos os três campos são necessários para os critérios funcionarem. O buffer de símbolos é redefinido se o acionador for disparado e se já houver um símbolo no buffer.
Condição - Isso define quais eventos ou conjuntos de eventos são acionar a condição. As opções disponíveis são:
•Recebido em sequência - O número especificado de eventos que devem acontecer em sequência. Esses eventos devem ser distintivos.
•Recebido desde última execução de acionador - A condição é acionada quando o número selecionado de eventos distintivos for alcançado desde a última execução da tarefa.
Número de ocorrências - Digite o número de eventos distintos com o símbolo selecionado para executar a tarefa.
Símbolo - De acordo com o Tipo de relatório, que é definido no menu Acionador, você pode escolher um símbolo no relatório que você poderá buscar. Clique em Selecionar para exibir o menu. Você pode remover o símbolo selecionado clicando em Remover.
Quando estiverem em uso com uma Tarefa do servidor, todos os computadores cliente são considerados. É improvável que você vá receber um alto número de símbolos distintos seguidos. Use a configuração Recebido em sequência apenas para casos razoáveis. Um valor faltando (N/A) é considerado como “não único” e, portanto, o buffer é redefinido neste ponto. |
Propriedades adicionais
Como afirmado acima, nem todos os eventos ativarão um acionador. Ações realizadas para eventos que não ativam podem ser:
•Se houver mais de um evento ignorado, agrupar os últimos N eventos em um (armazenar dados de marcações suprimidas) [N <= 100]
•Para N == 0, apenas o último evento é processado (N significa comprimento do histórico, o último evento sempre é processado)
•Todos os eventos sem ativação são mesclados (mesclando a última marcação com N marcações de histórico)
Se o acionador for acionado com muita frequência ou se quiser ser notificado com menos frequência, considere as sugestões a seguir:
•Se o usuário quiser reagir apenas se houver mais eventos, e não um único, consulte a condição estatística S1
•Se o acionador tiver que ser iniciado apenas quando um agrupamento de eventos ocorrer, siga a condição estatística S2
•Quando eventos com valores indesejados devem ser ignorados, consulte a condição estatística S3
•Quando eventos fora dos horários relevantes (por exemplo, do horário comercial) tiverem que ser ignorados, consulte a condição baseada em tempo T1
•Para definir um tempo mínimo entre disparos de acionador, use a condição baseada em tempo T2
As condições também podem ser combinadas para formar cenários de alternância mais complexos. Consulte os exemplos de alternância para mais detalhes. |