规则和逻辑连接符
规则包含项目、逻辑连接符(逻辑运算符)和定义的值。
当单击 + 添加规则时,一个窗口即会打开,其中包含分为各类别的项目列表。例如:
已安装软件 > 应用程序名称
网络适配器 > MAC 地址
操作系统版本 > 操作系统名称
可以在此 ESET 知识库文章中浏览所有可用规则的列表。
要创建规则,请选择项目、选择逻辑运算符并指定值。将根据您指定的值和使用的逻辑运算符计算规则。
可接受的值类型包括数字、字符串、枚举、IP 地址、产品掩码和计算机 ID。每种值类型关联的逻辑运算符各不相同,并且 ESET PROTECT Web 控制台将仅自动显示受支持的逻辑运算符。
•“=(等于)” - 符号值和模板值必须匹配。比较字符串时不区分大小写。
•“>(大于)” - 符号值必须大于模板值。还可用于为 IP 地址符号创建范围比较。
•“≥(大于或等于)” - 符号值必须大于或等于模板值。还可用于为 IP 地址符号创建范围比较。
•“<(小于)” - 符号值必须小于模板值。还可用于为 IP 地址符号创建范围比较。
•“≤(小于或等于)” - 符号值必须小于或等于模板值。还可用于为 IP 地址符号创建范围比较。
•“包含” - 符号值包含模板值。对于字符串,这将搜索子字符串。执行搜索时不区分大小写。
•“有前缀” - 符号值具有的文本前缀与模板值相同。比较字符串时不区分大小写。设置搜索字符串中的前几个字符,例如“Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319”,其前缀即为“Micros”、“Micr”或“Microsof”等。
•“有后缀” - 符号值具有的文本后缀与模板值相同。比较字符串时不区分大小写。设置搜索字符串中的前几个字符,例如“Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319”,其后缀即为“319”或“0.30319”等。
•“有掩码” - 符号值必须匹配模板中定义的掩码。掩码格式允许任意字符,特殊符号“*” - 表示零个、一个或多个字符,而“?”仅表示一个字符,例如:“6.2.*”或“6.2.2033.?”。
•“正则表达式” - 符号值必须匹配模板的正则表达式。正则表达式必须以 Perl 格式书写。
|
正则表达式、regex 或 regexp 是定义搜索模式的一系列字符。例如,gray|grey 和 gr(a|e)y 是相等的模式,都匹配这两个词:“gray”、“grey”。 |
•“为其中之一” - 符号值必须匹配模板中某个列表的任意值。若要添加一个项目,请单击 + 添加。列表中新项目中的每一行。比较字符串时不区分大小写。
•“为其中之一(字符串掩码)” - 符号值必须匹配模板中某个列表的任意掩码。比较字符串时区分大小写。示例:*endpoint-pc*, *Endpoint-PC*。
•“具有值”
|
时间规则允许选中测量经过的时间复选框,以基于自特定事件以来经过的时间创建“动态组”模板。托管计算机必须运行 ESET Management 服务器代理 10.0 及更高版本。 |
否定运算符:
|
必须谨慎使用否定运算符,因为在诸如“已安装应用程序”等多行日志的情况下,所有行将根据这些条件进行测试。请查看内含的示例(模板规则评估和动态组模板 - 示例)以了解必须如何使用否定运算符或否定运算才可以获得希望的结果。 |
•“≠(不等于)” - 符号值和模板值必须不匹配。比较字符串时不区分大小写。
•“不包含” - 符号值不包含模板值。执行搜索时不区分大小写。
•“没有前缀” - 符号值没有模板值所含有的相同文本前缀。比较字符串时不区分大小写。
•“没有后缀” - 符号值没有模板值所含有的文本后缀。比较字符串时不区分大小写。
•“没有掩码” - 符号值不得匹配模板中定义的掩码。
•“不是正则表达式” - 符号值不得匹配模板的正则表达式。正则表达式必须以 Perl 格式书写。提供的否定运算有助于无需重写即可否定匹配正则表达式。
•“非其中之一” - 符号值不得匹配模板中某个列表的任意值。比较字符串时不区分大小写。
•“非其中之一(字符串掩码)” - 符号值不得匹配模板中某个列表的任意掩码。
•“不具有值”