Ayuda en línea de ESET

Seleccionar el tema

Configuración avanzada: Umbral

El límite se utiliza para restringir la ejecución de una tarea. Normalmente, se utilizan límites cuando una tarea se desencadena por un evento frecuente. En ciertos casos, el límite puede evitar que se accione un desencadenador. Cada vez que se desencadena el desencadenador, se evalúa según el siguiente esquema. Solo aquellos desencadenantes que cumplen con las condiciones especificadas harán que se ejecute la tarea. Si no se establecen condiciones límites, todos los eventos desencadenantes ejecutarán la tarea.

Throttling_2

Existen tres tipos de condiciones para los límites:

Criterios basados en el tiempo

Criterios estadísticos

Criterios de registro de eventos

Para que se ejecute una tarea:

Deben ocurrir todos los tipos de condiciones

Las condiciones se deben configurar; si una condición está vacía, se omite

Se deben pasar todas las condiciones basadas en el tiempo, ya que son evaluadas con el operador AND

Todas las condiciones estadísticas evaluadas con el operador Y deben pasar; al menos una condición estadística con el operador O debe pasar

Las condiciones estadísticas y temporadas configuradas juntas deben pasar, ya que se las evalúa con el operador AND; solo en ese caso se ejecuta la tarea

Si se cumple alguna de las condiciones definidas, se restablece la información apilada para todos los observadores (la cuenta inicia desde 0). Esto funciona para las condiciones basadas en tiempo así como para las condiciones estadísticas. Esta información también se restablece si se reinicia el agente o el servidorESET PROTECT. Toda modificación hecha sobre un desencadenador reinicia su estado. Recomendamos que use una sola condición estadística y múltiples condiciones basadas en el tiempo. Tener múltiples condiciones estadísticas puede causar una complicación innecesaria y puede alterar los resultados del desencadenador.

Preconfiguración

Hay tres preconfiguraciones disponibles. Cuando selecciona una preconfiguración, su configuración actual del límite se borra y reemplaza por valores preconfigurados. Se pueden modificar y usar estos valores, aunque no es posible crear una nueva preconfiguración.

Criterios basados en el tiempo

Período de tiempo (T2): permite desencadenaciones durante el período de tiempo especificado. Si, por ejemplo, esto se configura en diez segundos y durante este período se generan diez invocaciones, solo la primera desencadenaría el evento.

note

Debe configurar la limitación con criterios basados en el tiempo para restringir la ejecución de la tarea a, como máximo, una vez cada 15 minutos y las notificaciones a, como máximo, una vez cada 1 minuto (un ícono de candado icon_locked_policy indica la restricción):

Tareas del servidor (incluida la generación de informes): todos los tipos de desencadenadores.

Tareas del cliente: tipos de desencadenadores de expresión CRON y programados.

Cronograma (T1): permiten marcas solo dentro del período de tiempo definido. Haga clic en Agregar período y se mostrará la ventana emergente. Configure un Rango de duración en unidades de tiempo seleccionadas. Seleccione una opción de la lista de Recurrencia y complete los campos, que cambian según la recurrencia seleccionada. Además, puede definir la recurrencia en una forma de Expresión CRON. Haga clic en Aceptar para almacenar el rango. Puede agregar múltiples rangos de tiempo a la lista; se ordenarán cronológicamente.

Deben cumplirse todas las condiciones configuradas para que se desencadene la tarea.

Criterios estadísticos

Condición: las condiciones estadísticas se pueden combinar con:

Enviar notificación cuando se cumplan todos los criterios estadísticos - O se use el operador lógico para evaluación

Enviar notificación cuando se cumple al menos un criterio estadístico - O se use el operador lógico para evaluación

Cantidad de ocurrencias (S1): permite accionar solo cada marca X. Por ejemplo, si ingresa diez, solo se contará cada diez desencadenadores.

Cantidad de ocurrencias dentro de un período de tiempo

Cantidad de ocurrencias (S2): permite desencadenar solo dentro del período de tiempo definido. Esto definirá la frecuencia mínima de eventos para desencadenar la tarea. Por ejemplo, puede usar esta configuración para permitir la ejecución de la tarea si el evento se detecta 10 veces en una hora. Ejecutar el desencadenador hace que se reinicie el conteo.

Período de tiempo: define el período de tiempo para la opción descrita anteriormente.

 

Se encuentra disponible una tercera condición estadística para ciertos tipos de desencadenador. Consulte Desencadenador > Tipo de desencadenador > Desencadenador de registro de evento.

Criterios de registro de eventos

ESET PROTECT evalúa estos criterios como criterios estadísticos terceros (S3). El operador de aplicación de criterios estadísticos (Y/O) se aplica para evaluar las tres condiciones estadísticas juntas. Recomendamos que use los criterios de registro de eventos junto a la tarea de Generar informe. Se necesitan los tres campos para que funcione el criterio. Se restablece el búfer de símbolos si se acciona el desencadenador y ya hay un símbolo en el búfer.

Condición: esto define qué eventos o conjunto de eventos desencadenarán la condición. Las opciones disponibles son:

Recibidos seguidos: la cantidad especificada de eventos que deben ocurrir seguidos. Estos eventos deben ser únicos.

Recibidos desde la última ejecución del desencadenador: la condición se desencadena cuando se alcanza la cantidad seleccionada de eventos únicos desde la última vez que se desencadenó la tarea.

Cantidad de ocurrencias: ingresar la cantidad de eventos únicos con los símbolos seleccionados para ejecutar la tarea.

Símbolo: en función del tipo de registro, que se configura en el menú Desencadenador, puede seleccionar el símbolo a buscar en el registro. Haga clic en Seleccionar para mostrar el menú. Puede eliminar el símbolo seleccionado haciendo clic en Eliminar.

note

Cuando se utiliza con una tarea del servidor, se consideran todos los equipos. No es probable recibir una gran cantidad de símbolos distintivos en una fila. Use la configuración Recibidos seguidos solo para casos razonables. Un valor perdido (n/d) se considera como “no único” y por eso se restablece el búfer en este punto.

Propiedades adicionales

Como ya se indicó, no todos los eventos causarán que se accione el desencadenador. Las acciones a tomar para los eventos sin desencadenador pueden ser:

Si se omite más de un evento, junte los últimos N eventos en uno (almacene datos de marcas suprimidas) [N <= 100]

para N == 0, solo se procesa el último evento (N significa duración del historial, el último evento siempre se procesa)

Se agrupan todos los eventos sin desencadenador (uniendo la última marca con N marcas de historial)

Si el desencadenador se activa muy seguido o si desea recibir menos notificaciones, tenga en cuenta las siguientes sugerencias:

Si el usuario desea reaccionar solo en caso de que haya más sucesos (no uno solo), consulte la condición estadística S1

Si el desencadenador se acciona solo cuando ocurre un clúster de eventos, siga la condición estadística S2

Cuando deban ignorarse sucesos con valores no deseados, consulte la condición estadística S3

Cuando se estén por ignorar aquellos sucesos fuera del horario relevante (por ejemplo, en horario laborable), consulte la condición temporal T1

Para configurar el tiempo mínimo entre desencadenamientos, utilice la condición basada en tiempo T2

note

Las condiciones también pueden combinarse para formar escenarios de límite más complejos. Consulte la sección ejemplos de límites para obtener más detalles.