模板规则评估
模板规则评估由 ESET Management 服务器代理进行处理,而不是由 ESET PROTECT 服务器进行处理(只有结果会发送给 ESET PROTECT 服务器)。评估过程将根据在模板中配置的规则进行。下面是几个模板规则评估过程的示例。
您需要区分为了验证存在的测试(具有该值并且根本不存在)和为了验证差异的测试(存在,但是有不同的值)。这里有一些作出此区分的基本规则: •若要验证存在:无否定的运算(AND、OR)以及无否定的运算符(=、>、<、包含...)。 •若要验证存在不同值:运算 AND,以及包括至少一个否定的运算符(=、>、<、包含、不包含...)。 •若要验证不存在某个值:有否定的运算(NAND、NOR)以及无否定的运算符(=、>、<、包含...)。 若要验证某个项目列表(例如,计算机上安装的应用程序的特定列表)是否存在,需要为列表中的每个项目创建单独的动态组模板,然后将该模板分配给单独的动态组(即每个动态组成为另一个子组)。内含项目列表的计算机位于最后一个子组中。 |
状态是各种信息的群集。某些来源针对每台计算机提供了多个维度状态(例如,操作系统、RAM 大小等),而其他来源提供了多维状态信息(例如,IP 地址、已安装应用程序等)。
下面是客户端状态的可视表示形式:
网络适配器 - IP 地址 |
网络适配器 - MAC 地址 |
操作系统名称 |
操作系统版本 |
HW - RAM 大小(以 MB 为单位) |
已安装应用程序 |
---|---|---|---|---|---|
192.168.1.2 |
4A-64-3F-10-FC-75 |
Windows 7 企业版 |
6.1.7601 |
2048 |
ESET Endpoint Security |
10.1.1.11 |
2B-E8-73-BE-81-C7 |
|
|
|
PDF 阅读器 |
124.256.25.25 |
52-FB-E5-74-35-73 |
|
|
|
Office 套件 |
|
|
|
|
|
天气预报 |
状态由信息组构成。某个数据组始终会提供按行组织的相关信息。每组的行数可能会不同。
根据每组和每行来评估条件 - 如果存在多个关于某组中列的条件,则仅考虑相同行上的值。
示例 1:
对于此示例,请考虑以下条件:
Network Adapters.IP Address = 192.168.1.2 AND Network Adapters.MAC Address = 4A-64-3F-10-FC-75
该规则与任何计算机都不匹配,因为不存在这两个条件同时为 true 的行。
网络适配器 - IP 地址 |
网络适配器 - MAC 地址 |
操作系统名称 |
操作系统版本 |
HW - RAM 大小(以 MB 为单位) |
已安装应用程序 |
---|---|---|---|---|---|
192.168.1.2 |
4A-64-3F-10-FC-75 |
Windows 7 企业版 |
6.1.7601 |
2048 |
ESET Endpoint Security |
10.1.1.11 |
2B-E8-73-BE-81-C7 |
|
|
|
PDF 阅读器 |
124.256.25.25 |
52-FB-E5-74-35-73 |
|
|
|
Office 套件 |
|
|
|
|
|
天气预报 |
示例 2:
对于此示例,请考虑以下条件:
Network Adapters.IP Address = 192.168.1.2 AND Network Adapters.MAC Address = 4A-64-3F-10-FC-75
此时,相同行上的单元格能同时满足这两个条件,因此从整体而言,可将该规则评估为 TRUE。此计算机处于选中状态。
网络适配器 - IP 地址 |
网络适配器 - MAC 地址 |
操作系统名称 |
操作系统版本 |
HW - RAM 大小(以 MB 为单位) |
已安装应用程序 |
---|---|---|---|---|---|
192.168.1.2 |
4A-64-3F-10-FC-75 |
Windows 7 企业版 |
6.1.7601 |
2048 |
ESET Endpoint Security |
10.1.1.11 |
2B-E8-73-BE-81-C7 |
|
|
|
PDF 阅读器 |
124.256.25.25 |
52-FB-E5-74-35-73 |
|
|
|
Office 套件 |
|
|
|
|
|
天气预报 |
示例 3:
对于具有 OR 运算符(至少有一个条件必须为 TRUE)的条件,例如:
Network Adapters.IP Address = 10.1.1.11 OR Network Adapters.MAC Address = 4A-64-3F-10-FC-75
对于这两行,该规则为 TRUE,因为只需满足其中一个条件。此计算机处于选中状态。
网络适配器 - IP 地址 |
网络适配器 - MAC 地址 |
操作系统名称 |
操作系统版本 |
HW - RAM 大小(以 MB 为单位) |
已安装应用程序 |
---|---|---|---|---|---|
192.168.1.2 |
4A-64-3F-10-FC-75 |
Windows 7 企业版 |
6.1.7601 |
2048 |
ESET Endpoint Security |
10.1.1.11 |
2B-E8-73-BE-81-C7 |
|
|
|
PDF 阅读器 |
124.256.25.25 |
52-FB-E5-74-35-73 |
|
|
|
Office 套件 |
|
|
|
|
|
天气预报 |