常规事件和数据来源(属性)
该功能仅在安装 XProtect 事件服务器后才能工作。
常规事件(属性)
|
组件 |
要求 |
|---|---|
| 名称 |
常规事件的唯一名称。名称必须在所有类型的事件中都唯一,例如用户定义事件、分析事件等。 |
| 已启用 |
常规事件默认是启用的。清除该复选框可禁用事件。 |
| 表达式 |
在分析数据包时本系统应查找的表达式。可使用以下运算符:
示例:搜索条件“(User001 OR Door053) AND Sunday”会首先处理括号中的两个术语,然后将结果与字符串的最后一部分结合。因此,系统首先查找包含术语 User001 或 Door053 的任何数据包,然后再运行结果来查看哪些数据包还包含术语 Sunday。
示例:搜索条件“(User001ANDDoor053) AND Sunday”只有在术语 User001、Door053 和Sunday均包括在表达式中时才会返回结果。仅包含其中一个或两个术语并不够。使用 AND 结合的术语越多,检索到的结果就越少。
示例:搜索条件“User001ORDoor053 ORSunday”会返回包含 User001、Door053 或 Sunday 的所有结果。使用 OR 结合的术语越多,检索到的结果就越多。 |
| 表达式类型 |
表示本系统在分析接收到的数据包时的特定行为。选项如下所示:
如果从搜索或匹配切换至正则表达式,表达式字段中的文本会自动翻译为正则表达式。 |
| 优先级 |
必须将优先级指定为 0(最高优先级)和 999999(最低优先级)之间的一个数字。 可能针对不同事件分析同一数据包。通过为每个事件指定优先级,可管理当已接收的软件包匹配多个事件的条件时,应触发哪个事件。 当本系统接收到 TCP 和/或 UDP 数据包时,数据包分析过程将首先分析具有最高优先级的事件。这样,就可以在数据包符合若干事件的条件时,仅触发具有最高优先级的事件。如果数据包符合几个具有相同优先级事件的条件,例如,两个事件的优先级都是 999,则系统会自动触发具有此优先级的所有事件。 |
| 检查表达式是否与事件字符串匹配 |
根据在表达式字段中输入的表达式来测试事件字符串。 |
常规事件数据来源(属性)
|
组件 |
要求 |
|---|---|
| 数据来源 |
可在两种默认数据来源之间进行选择,也可定义自定义数据来源。具体选择取决于第三方程序和/或您想要联接的硬件或软件: 兼容性:启用出厂默认设置,回显所有字节,TCP 和 UDP,仅 IPv4,端口 1234,无分隔符,仅本地主机,当前代码页编码 (ANSI)。 国际:启用出厂默认设置,仅回显统计信息,仅 TCP,IPv4+6,端口 1235,<CR><LF> 作为分隔符,仅本地主机,UTF-8 编码。 (<CR><LF> = 13,10)。 [数据来源 A] [数据来源 B] 等等。 |
| 新建 |
单击创建新数据来源。 |
| 名称 |
数据来源的名称。 |
| 已启用 |
数据来源默认是启用的。清除该复选框可禁用数据来源。 |
| 重设 |
单击以重设所选数据来源的所有设置。在名称字段中输入的名称将保持。 |
| 端口 |
数据来源的端口号。 |
| 协议类型选择器 |
系统应监听并分析以用来侦测常规事件的协议: 任何:TCP 及 UDP。 TCP:仅 TCP。 UDP:仅 UDP。 在用于常规事件的 TCP 和 UDP 数据包中,可以包含特殊字符,如 @、#、+、~ 等。 |
| IP 类型选择器 |
可选择的 IP 地址类型:IPv4、IPv6 或两者皆可。 |
| 分隔符字节 |
选择用于分隔各个常规事件录像的分隔符字节。数据来源类型国际(请参阅 数据来源)的默认值为 13,10。(13,10 = <CR><IF>)。 |
| 回声类型选择器 |
可用的回声返回格式:
|
| 编码类型选择器 |
默认情况下,列表仅显示最相关的选项。选中全部显示复选框可显示所有可用编码选项。 |
| 全部显示 |
请参阅上一小节。 |
| 允许的外部 IPv4 地址 |
指定 IP 地址,管理服务器必须能够与该地址通信才能管理外部事件。也可使用此功能排除您不希望从中获取数据的 IP 地址。 |
| 允许的外部 IPv6 地址 |
指定 IP 地址,管理服务器必须能够与该地址通信才能管理外部事件。也可使用此功能排除您不希望从中获取数据的 IP 地址。 |
范围可以在四个位置中的每一个指定,如 100,105,110-120。例如,在 10.10 网络上的所有地址均可通过 10.10.[0-254].[0-254] 或 10.10.255.255 允许。