Reguły i łączniki logiczne
Reguła składa się z elementu, łącznika logicznego (operatora logicznego) i określonej wartości.
Po kliknięciu opcji + Dodaj regułę otworzy się okno z listą elementów podzielonych na kategorie. Na przykład:
Zainstalowane oprogramowanie > Nazwa aplikacji
Karty sieciowe > Adres MAC
Wersja systemu operacyjnego > Nazwa systemu operacyjnego
Listę wszystkich dostępnych zasad znajdziesz w tym artykule w bazie wiedzy ESET.
Aby utworzyć regułę, wybierz element, a następnie wybierz operator logiczny i określ wartość. Reguła zostanie oceniona zgodnie z określoną wartością i użytym operatorem logicznym.
Dopuszczalne typy wartości to liczby, ciągi, wyliczenia, adresy IP, maski produktów i identyfikatory komputerów. Z każdym typem wartości są powiązane różne operatory logiczne, a konsola internetowa ESET PROTECT automatycznie pokaże tylko te obsługiwane.
•„= (równy)” — wartość symbolu i wartość szablonu muszą być takie same. Ciągi są porównywane bez uwzględniania wielkości liter.
•„> (większy niż)” — wartość symbolu musi być większa od wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.
•„≥ (większy lub równy)” — wartość symbolu musi być większa lub równa wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.
•„< (mniejszy niż)” — wartość symbolu musi być mniejsza od wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.
•„≤ (mniejszy lub równy)” — wartość symbolu musi być mniejsza lub równa wartości szablonu. Może również służyć do tworzenia porównania zakresu symboli adresów IP.
•„zawiera” — wartość symbolu zawiera wartość szablonu. W przypadku ciągów powoduje to wyszukanie ciągu częściowego. Wyszukiwanie odbywa się bez uwzględniania wielkości liter.
•„ma prefiks” — wartość symbolu ma taki sam prefiks tekstowy jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter. Ciągi są porównywane bez uwzględniania wielkości liter. W przypadku ciągu „Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” prefiksem może być „Micros”, „Micr”, „Microsof” itd.
•„ma sufiks” — wartość symbolu ma taki sam sufiks tekstowy jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter. Należy podać kilka pierwszych znaków wyszukiwanego ciągu. W przypadku ciągu „Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319” sufiksem może być „319” lub „0.30319” itd.
•„ma maskę” — wartość symbolu musi odpowiadać masce zdefiniowanej w szablonie. Formatowanie maski pozwala na stosowanie dowolnych znaków, a następnie symboli specjalnych „*” — zero, jeden lub wiele znaków, a także „?” — dokładnie jeden znak, na przykład: „6.2.*” albo „6.2.2033.?”.
•„wyrażenie regularne” — wartość symbolu musi pasować do wyrażenia regularnego z szablonu. Wyrażenie regularne musi być zapisane w formacie języka Perl.
Wyrażenie regularne, regex lub regexp to ciąg znaków definiujący wzorzec wyszukiwania. Na przykład gray|grey i gr(a|e)y są równoważnymi wzorcami i oba są zgodne z dwoma wyrazami: „gray”, „grey”. |
•„w” — wartość symbolu musi być zgodna z dowolną wartością z listy w szablonie. Aby dodać pozycję, kliknij opcję + Dodaj. Każdy wiersz stanowi nową pozycję na liście. Ciągi są porównywane bez uwzględniania wielkości liter.
•„w (maska ciągu)” — wartość symbolu musi być zgodna z dowolną maską z listy w szablonie. Ciągi są porównywane z uwzględnianiem wielkości liter. Przykłady: *endpoint-pc*, *Endpoint-PC*.
•„ma wartość"
Reguły czasu umożliwiają zaznaczenie pola wyboru Zmierz czas, który upłynął, aby utworzyć szablon grupy dynamicznej na podstawie czasu, jaki upłynął od określonego zdarzenia. Na zarządzanym komputerze musi być uruchomiony agent ESET Management w wersji 10.0 i nowszej. |
Operatory negujące:
operatory negujące należy stosować z ostrożnością, ponieważ w przypadku dzienników z wieloma wierszami (np. „Zainstalowana aplikacja”) wszystkie wiersze są sprawdzane względem tych warunków. Aby poznać zasady posługiwania się operatorami lub operacjami negującymi i otrzymać oczekiwane wyniki, warto przeanalizować podane przykłady (Ocena reguł szablonu i Szablon grupy dynamicznej — przykłady). |
•„≠ (nie równy)” — wartość symbolu i wartość szablonu nie mogą być takie same. Ciągi są porównywane bez uwzględniania wielkości liter.
•„nie zawiera” — wartość symbolu nie zawiera wartości szablonu. Wyszukiwanie odbywa się bez uwzględniania wielkości liter.
•„nie ma prefiksu” — wartość symbolu nie ma takiego samego prefiksu tekstowego jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter.
•„nie ma sufiksu” — wartość symbolu nie ma takiego samego sufiksu tekstowego jak wartość szablonu. Ciągi są porównywane bez uwzględniania wielkości liter.
•„nie ma maski” — wartość symbolu nie może odpowiadać masce zdefiniowanej w szablonie.
•„nie wyrażenie regularne” — wartość symbolu nie może pasować do wyrażenia regularnego z szablonu. Wyrażenie regularne musi być zapisane w formacie języka Perl. Operacja negacji pomaga zanegować pasujące wyrażenia regularne bez ponownego zapisu.
•„nie w” — wartość symbolu nie może być zgodna z żadną wartością z listy w szablonie. Ciągi są porównywane bez uwzględniania wielkości liter.
•„nie w (maska ciągu)” — wartość symbolu nie może być zgodna z żadną maską z listy w szablonie.
•„nie ma wartości"