规则和逻辑连接符
规则包含项目、逻辑连接符(逻辑运算符)和定义的值。
当单击 添加规则时,一个窗口即会打开,其中包含分为各类别的项目列表。例如:
已安装软件 > 应用程序名称
网络适配器 > MAC 地址
操作系统版本 > 操作系统名称
可以在此 ESET 知识库文章中浏览所有可用规则的列表。
要创建规则,请选择项目、选择逻辑运算符并指定值。将根据您指定的值和使用的逻辑运算符计算规则。
可接受的值类型包括数字、字符串、枚举、IP 地址、产品掩码和计算机 ID。每种值类型关联的逻辑运算符各不相同,并且 ESET PROTECT Web 控制台将仅自动显示受支持的逻辑运算符。
=(等于) |
符号值和模板值必须匹配。比较字符串时不区分大小写。 |
|||
>(大于) |
符号值必须大于模板值。还可用于为 IP 地址符号创建范围比较。 |
|||
≥(大于或等于) |
符号值必须大于或等于模板值。还可用于为 IP 地址符号创建范围比较。 |
|||
<(小于) |
符号值必须小于模板值。还可用于为 IP 地址符号创建范围比较。 |
|||
≤(小于或等于) |
符号值必须小于或等于模板值。还可用于为 IP 地址符号创建范围比较。 |
|||
包含 |
符号值包含模板值。对于字符串,这将搜索子字符串。执行搜索时不区分大小写。 |
|||
包含前缀 |
符号值具有的文本前缀与模板值相同。比较字符串时不区分大小写。设置搜索字符串中的前几个字符,例如“Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319”,其前缀即为“Micros”、“Micr”或“Microsof”等。 |
|||
包含后缀 |
符号值具有的文本后缀与模板值相同。比较字符串时不区分大小写。设置搜索字符串中的前几个字符,例如“Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319”,其后缀即为“319”或“0.30319”等。 |
|||
有掩码 |
符号值必须匹配模板中定义的掩码。掩码格式允许任意字符,特殊符号“*” - 表示零个、一个或多个字符,而“?”仅表示一个字符,例如:“6.2.*”或“6.2.2033.?”。 |
|||
正则表达式 |
符号值必须匹配模板的正则表达式。正则表达式必须以 Perl 格式书写。
|
|||
属于 |
符号值必须匹配模板中某个列表的任意值。若要添加一个项目,请单击添加。列表中新项目中的每一行。比较字符串时不区分大小写。 |
|||
属于(字符串掩码) |
符号值必须匹配模板中某个列表的任意掩码。比较字符串时区分大小写。示例:*endpoint-pc*, *Endpoint-PC*。 |
|||
包含值 |
|
|
时间规则允许选中测量经过的时间复选框,以基于自特定事件以来经过的时间创建“动态组”模板。 |
否定运算符:
|
必须谨慎使用否定运算符,因为在诸如“已安装应用程序”等多行日志的情况下,所有行将根据这些条件进行测试。请查看内含的示例(模板规则评估和动态组模板 - 示例)以了解必须如何使用否定运算符或否定运算才可以获得希望的结果。 |
≠(不等于) |
符号值和模板值必须不匹配。比较字符串时不区分大小写。 |
不包含 |
符号值不包含模板值。执行搜索时不区分大小写。 |
没有前缀 |
符号值没有模板值所含有的相同文本前缀。比较字符串时不区分大小写。 |
没有后缀 |
符号值没有模板值所含有的文本后缀。比较字符串时不区分大小写。 |
没有掩码 |
符号值不得匹配模板中定义的掩码。 |
不是正则表达式 |
符号值不得匹配模板的正则表达式。正则表达式必须以 Perl 格式书写。提供的否定运算有助于无需重写即可否定匹配正则表达式。 |
不属于 |
符号值不得匹配模板中某个列表的任意值。比较字符串时不区分大小写。 |
不属于(字符串掩码) |
符号值不得匹配模板中某个列表的任意掩码。 |
不包含值 |
|