Aide en ligne ESET

Rechercher Français
Sélectionner la rubrique

Règles et connecteurs logiques

Une règle est composée d'un élément, d'un opérateur logique et d'une valeur définie.

Lorsque vous cliquez sur + Ajouter une règle, une fenêtre s'ouvre. Elle contient une liste d'éléments divisés en catégorie. Par exemple :

Logiciel installé > Nom de l'application

Cartes réseau  > Adresse MAC

Édition du SE > Nom du SE

Vous pouvez parcourir la liste de toutes les règles disponibles dans cet article de la base de connaissances ESET.

Pour créer une règle, sélectionnez un élément, choisissez un opérateur logique et spécifiez une valeur. La règle est évaluée selon la valeur spécifiée et l'opérateur logique utilisé.

Les types de valeurs acceptées sont les suivants : nombre(s), chaîne(s), énumération(s), adresse(s) IP, masques de produit et ID d'ordinateur. Chaque type de valeur est associé à des opérateurs logiques différents. La console Web de ESET PROTECT n'affiche automatiquement que les opérateurs pris en charge.

= (égal) : les valeurs du symbole et du modèle doivent correspondre. Les chaînes sont comparées sans tenir compte de la casse.

> (supérieur à) : la valeur du symbole doit être supérieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.

≥ (supérieur ou égal à) : la valeur du symbole doit être supérieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.

< (inférieur à) : la valeur du symbole doit être inférieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.

≤ (inférieur ou égal à) : la valeur du symbole doit être inférieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.

« contient » : la valeur du symbole contient celle du modèle. Dans le cas de chaînes, la recherche une se fait pour une sous-chaîne. La recherche ne respecte pas la casse.

contient un préfixe : la valeur du symbole contient le même préfixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le préfixe est "Micros", "Micr", "Microsof", etc.

« contient un postfixe » : la valeur du symbole contient le même postfixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de recherche, par exemple, pour « Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 », le postfixe est « 319 » ou « 0.30319 », etc.

contient un masque : la valeur du symbole doit correspondre à un masque défini dans un modèle. La mise en forme du masque autorise n'importe quel caractère, les symboles spéciaux « * » (zéro, un ou plusieurs caractères) et « ? » (un caractère uniquement, par exemple : "6.2.*" ou "6.2.2033.?".

"regex" : la valeur du symbole doit correspondre à l'expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl.


note

Une expression régulière, regex ou regexp est une séquence de caractères qui définissent un motif de recherche. Par exemple, gray|grey et gr(a|e)y sont des modèles équivalents qui correspondent à ces deux mots : « gray », « grey ».

« est l'un des » : la valeur du symbole doit correspondre à n'importe quelle valeur d'une liste d'un modèle. Cliquez sur + Ajouter pour ajouter un élément. Chaque ligne d'un nouvel élément de la liste. Les chaînes sont comparées sans tenir compte de la casse.

« est l'un de » (masque de chaîne) : la valeur du symbole doit correspondre à n'importe quel masque d'une liste d'un modèle. Les chaînes sont comparées en tenant compte de la casse. Exemples : *endpoint-pc*, *Endpoint-PC*.

« a la valeur »


note

Les règles temporelles permettent de cocher la case Mesurer le temps écoulé pour créer un modèle de groupe dynamique basé sur le temps écoulé depuis un événement spécifique. L’ordinateur géré doit être équipé de l’agent ESET Management 10.0 ou une version ultérieure.

Opérateurs inversés:


important

Il faut utiliser les opérateurs inversés avec précaution, parce que dans un cas de journaux à lignes multiples, comme « Application installée », toutes les lignes sont évaluées par ces conditions. Veuillez consulter les exemples inclus (Évaluation des règles de modèle et Modèle de Groupe dynamique - exemples pour voir comment les opérateurs inversés ou les opérations inversées doivent être utilisés pour obtenir les résultats escomptés.

≠ (différent de) : les valeurs du symbole et du modèle ne doivent pas correspondre. Les chaînes sont comparées sans tenir compte de la casse.

ne contient pas : la valeur du symbole ne contient pas la valeur du modèle. La recherche ne respecte pas la casse.

"n'a pas de préfixe" : la valeur du symbole ne contient pas le même préfixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse.

« n'a pas de postfixe » : la valeur du symbole ne contient pas de postfixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse.

n'a pas de masque : la valeur du symbole ne doit pas correspondre à un masque défini dans un modèle.

"n'est pas une expression regex" : la valeur du symbole ne doit pas correspondre à une expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl. L'opération inversée est fournie pour aider à annuler les expressions régulières correspondantes sans réécriture.

« n'est pas l'un des » : la valeur du symbole ne doit correspondre à aucune valeur de la liste d'un modèle. Les chaînes sont comparées sans tenir compte de la casse.

« n'est pas l'un des » (masque de chaîne) : la valeur du symbole ne doit correspondre à aucun masque d'une liste d'un modèle.

« n'a pas de valeur »