ESET 線上說明

選取類別
選取主題

進階設定 - 節流

節流是用來限制工作執行。通常,當經常發生的事件觸發工作時,即會使用節流。在某些情況下,節流可能會使觸發無法啟動。每次啟動觸發,即會根據下列設定進行評估。然後,只有符合指定條件的觸發才會使工作執行。如果未設定節流條件,則所有觸發事件都將執行工作。

Throttling_2

節流有三種類型的條件:

1.以時間為基礎的標準

2.統計標準

3.事件防護記錄標準

工作若要執行:

所有類型的條件都必須通過

您必須設定條件;如果條件為空白,則會忽略條件。

必須通過所有時間條件,因為它們是使用 AND 運算子進行評估

必須通過所有使用 AND 運算子進行評估的統計條件;必須通過至少一個具有 OR 運算子的統計條件

由於它們僅使用 AND 運算子進行評估,因此一起設定的統計及時間條件集必須通過,然後才會執行工作

 

當達到任何已定義的條件時,將會重設所有觀察者的堆疊資訊 (計數會從 0 開始)。這適用於時間條件以及統計條件。如果重新啟動代理程式或 ESET PROTECT 伺服器,也會重設此資訊。觸發的任何修改都會重設其狀態。我們建議您僅使用一個統計條件與多個時間條件。多個統計條件可能會產生不必要的複雜度,並且會改變觸發結果。

預設集

有三種可用的預設集。選取預設集時,已清除您目前的節流設定並由預設集值取代。這些值可進一步修改和使用,但無法建立新的預設集。

時間標準

彙總啟動時段 (T2) - 每隔指定時間觸發一次。例如,如果設定為 10 秒而在這段期間啟動了 10 次,則只有第一次啟動會觸發事件。


note

您必須使用時間標準來配置節流,以限制工作執行,最多每 15 分鐘一次 (鎖定圖示 icon_locked_policy 表示限制):

伺服器工作 (包括報告產生) - 所有觸發類型

用戶端工作 - 已排程CRON 運算式觸發類型

如果已從 ESET PROTECT 8.x 升級,則 15 分鐘將自動套用至所有現有工作,並將時段設定為少於 15 分鐘。

最短 15 分鐘時段不適用於通知。

排程 (T1) - 只允許在定義時段中觸發。按一下 [新增期間],彈現視窗隨即顯示。以所選時間單位設定 [範圍持續ˊ期間]。從 [發生次數] 清單選取一個選項並填入欄位,其會隨所選發生次數而變更。您可以定義發生次數,也能以 CRON 運算式的形式呈現。按一下 [確定] 儲存範圍。您可以在清單中新增多個時間範圍—這些時間範圍會根據時間先後順序排列。

必須等到所有配置的條件都符合時,工作才會觸發。

統計標準

條件 - 統計條件可以透過使用:

符合所有統計條件時傳送通知 OR 邏輯運算子用於評估

符合至少一個統計條件時傳送通知 - OR 邏輯運算子用於評估

發生次數 (S1) - 僅允許每 X 次時觸發一次。例如,若您輸入 10,則每第 10 次觸發就會計入。

一段時間內的發生次數

發生次數 (S2) - 只允許在定義時段中的觸發。這會定義事件觸發工作的最低頻率。例如,當一小時內偵測到 10x 時,您可以使用這設定來允許執行工作。計數器會在引發觸發後重設。

時段 - 定義上述選項的時段。

 

只有特定觸發類型才能使用第三個統計條件。請參閱 [觸發] > [觸發類型] > [事件防護記錄觸發]

事件防護記錄標準

這些標準會由 ESET PROTECT 評估為第三個統計標準 (S3)。[統計標準應用程式] 運算子 (AND / OR) 可用於同時評估共三個統計條件。建議您將事件防護記錄標準與 [產生報告] 工作搭配使用。標準需要使用全部三個欄位才能運作。觸發已啟動且有符號位於緩衝區時,會重設符號緩衝區。

條件 - 這會定義哪些事件會觸發條件。可用的選項是:

連續接收 - 指定事件數必須連續發生。且必須為獨特事件。

距上次觸發執行所收到的 - 距上次觸發工作後,達到所選獨特事件數時觸發條件。

發生次數 - 輸入具有所選符號的獨特事件整數,以執行工作。

符號 - 根據在 [觸發] 功能表中設定的 [防護日誌類型],您可以在防護日誌中選擇符號,然後便可以搜尋該符號。按一下 [選取] 以顯示功能表。您可以按一下 [移除] 來移除所選符號。


note

搭配伺服器工作使用時,會考慮所有用戶端電腦。無法連續接收大量的獨特符號。請在合理的情況下,才使用 [連續接收] 設定。缺少的值 (N/A) 會視為「非唯一」,因此在此點中重設緩衝區。

額外屬性

如以上所述,並非每個事件都會啟動觸發。非啟動事件的動作可以是:

如果略過多個事件,則將最後 N 個事件分成一組 (儲存壓縮刻度的資料) [N <= 100]

N == 0,僅處理最後一個事件 (N 意指歷程長度,其中一律會處理最後一個事件)

所有非啟動事件都會合併 (將最後一個刻度與 N 個歷程刻度合併)

 

若觸發次數太頻繁,或您想要減少通知的次數,請考慮以下建議:

如果使用者只想針對多個事件,而非單一事件執行反應動作,請參閱統計條件 S1

如果您希望只有當發生事件叢集時才啟動觸發,請遵循統計條件 S2

如果您要忽略包含不需要值的事件,請參閱統計條件 S3

如果您要忽略相關時數 (例如工作時數) 以外的事件,請參閱時間條件 T1

若要設定各個觸發啟動之間間隔的時間下限,請使用時間條件 T2

 


note

這些條件也可以併用,而形成更複雜的節流案例。如需詳細資料,請參閱節流範例