基于事件的任务
您可以通过基于事件的任务针对特定事件监控受保护计算机,并基于一定的条件执行任务。
在主页面上可以执行下列操作:
- 创建新的基于事件的任务 (
)
- 查看或修改现有的基于事件的任务的属性 (
)
- 复制(然后修改)现有的基于事件的任务 (
) - 删除基于事件的任务 (
)
单击新建 (),然后选择新建基于事件的任务。显示的向导将引导您完成创建新任务的所有步骤。可能会提示您提供不同的信息,具体视任务类型而定。
事件
可以监控以下事件:
- 已创建计算机(由系统):在与 Active Directory 或云提供程序帐户同步期间向管理中心添加计算机,或在运行虚拟设备的受管理 ESXi Server 上创建虚拟机。
- 已移动计算机(由系统): 从一个 vApp 移到同一 ESXi 中另一个 vApp 的虚拟机,或从一台 ESXi 上的一个数据中心移动到另一个数据中心,或从一台 ESXi 移动到另一台 ESXi (包括从未受管理的 ESXi Server 移动到运行虚拟设备的受管理 ESXi Server)的虚拟机。在组之间或 Active Directory 之间移动的计算机。
- 客户端启动的激活:使用客户端启动的激活激活客户端。
- IP 地址已更改:计算机已开始使用不同的 IP。
- NSX 安全组已更改:以下情况会触发此事件(事件将记录在每个受影响的 VM 上):
- 将 VM 添加到与 NSX 趋势科技服务器深度安全防护系统服务配置文件(间接)关联的组中
- 从与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 组中移除 VM
- 将与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 策略应用于 NSX 组
- 从 NSX 组中移除与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 策略
- NSX 策略与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联
- 从 NSX 趋势科技服务器深度安全防护系统服务配置文件中移除 NSX 策略
- 与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 组更改了名称
条件
您可以要求满足特定的匹配条件以便执行任务。(按“加号”按钮可添加其他条件。)如果您指定多个条件,必须满足所有条件才能执行任务。(也就是说,多个条件是 "AND" 关系的条件,而不是 "OR" 关系的条件。)
使用 Java 正则表达式语法 (http://docs.oracle.com/javase/6/docs/api/java/util/regex/Pattern.html) 在以下文本框中匹配特征码:
- 云实例镜像 ID:云实例镜像 ID。
云实例安全组名称匹配条件只适用于 AWS 云实例。
- 云实例元数据:匹配的元数据对应于 Amazon 环境下的 AWS“标记”。
云实例元数据匹配条件只适用于 AWS 云实例。目前,与某台计算机相关联的元数据显示在该计算机编辑器窗口的概述页面上。要定义匹配的条件,必须提供两条信息:元数据标记键和元数据标记值。例如,要匹配元数据键名为 "AlphaFunction" 以及值为 "DServer" 的计算机,需要输入 "AlphaFunction" and "DServer"(不包括引号)。如果想匹配多个可能的条件,可以使用正则表达式并输入 "AlphaFunction" and ".*Server",或 "AlphaFunction" and "D.*"。
- 云实例安全组名称:云实例应用到的安全组。
云实例安全组名称匹配条件只适用于 AWS 云实例。
- 云帐户名称:云帐户属性窗口中的“名称”字段。
- 计算机名称:计算机属性窗口中的“主机名”字段。
- ESXi 名称:托管 VM 计算机的 ESXi Server 中的“主机名”字段。
- 文件夹名称:计算机在其本地环境中所处的文件夹或目录的名称。
文件夹名称匹配条件会对照计算机的任意父文件夹的名称查找匹配,包括 vCenter Server 集成的根数据中心。如果您在正则表达式的开头添加了 "*" 字符,则可确保条件与所有父文件夹上的名称相匹配。此方法在正则表达式中与否定式结合时尤其有用。例如,如果您要匹配文件夹名称中不包含 "Linux" 的文件夹中的计算机,可以使用
*^((?!Linux).)*$这样的正则表达式。 - NSX 安全组名称:此条件下的潜在组列表仅指的是与 NSX 趋势科技服务器深度安全防护系统服务配置文件的关联 NSX 策略相关联的 NSX 组。VM 可能是其他 NSX 组的成员,但是对于此匹配条件它是不相关的。
- 平台:计算机的操作系统。
- vCenter 名称:添加到趋势科技服务器深度安全防护系统管理中心的计算机的 vCenter 属性的“名称”字段。
Java 正则表达式示例:
| 要匹配: | 请使用: |
| 任意字符串(但不能为空) | .+ |
| 空字符串(无文本) | ^$ |
| 文件夹 Alpha | Folder\ Alpha |
| FIN-1234 | FIN-\d+ 或 FIN-.* |
| RD-ABCD | RD-\w+ 或 RD-.* |
| AB 或 ABC 或 ABCCCCCCCCCC |
ABC* |
| Microsoft Windows 2003 或 Windows XP |
.*Windows.* |
| Red Hat 6 或 Some_Linux123 或 abcFreeBSD |
.*Red.*|.*Linux.*|.*FreeBSD.* |
以下两个条件匹配 True 或 False 条件:
- 设备保护可用:趋势科技服务器深度安全防护系统虚拟设备可以保护托管 VM 的 ESXi 上的 VM。VM 可能处于也可能不处于“已激活”状态。
- 设备保护已激活:趋势科技服务器深度安全防护系统虚拟设备可以保护托管 VM 的 ESXi 上的 VM,且 VM“已激活”。
最后一个条件选项在 IP 列表中查找此 IP 的匹配项:
- 上次使用的 IP 地址:计算机的当前 IP 地址或最后一次的已知 IP 地址。
某些文本框可能不可用,具体取决于新计算机的来源。例如,对于因与 Active Directory 同步而添加的计算机,“平台”将不可用。
操作
可根据检测到的上述事件执行以下操作:
- 激活计算机:在计算机上激活 Vulnerability Protection 趋势科技服务器深度安全防护系统防护。
- 延迟激活时间(分钟):按指定的分钟数延迟激活。
如果基于事件的任务要对某个 VM 应用防护,而该 VM 将 vMotion 到受趋势科技服务器深度安全防护系统虚拟设备保护的 ESXi,请在激活前增加两分钟的延迟,以便完成任何未决的 VMware 管理任务。仅当尚未激活计算机时,才执行激活操作。也就是说,仅当计算机未受客户端或虚拟设备保护或计算机仅受客户端保护但虚拟设备保护处于可用状态时,才执行激活操作。 - 停用计算机: 在计算机上停用 Vulnerability Protection 趋势科技服务器深度安全防护系统防护。
- 分配策略:自动为新计算机分配策略。(必须首先激活该计算机。)
- 分配中继组:为新计算机自动分配中继组,并从该中继组接收安全更新。
- 分配给计算机组:将计算机置于“计算机”页面的其中一个计算机组。
执行顺序
如果同一条件触发了多个基于事件的任务,将按任务名称的字母顺序执行这些任务。
启用或禁用基于事件的任务
可以启用或禁用现有的基于事件的任务。例如,如果您不希望在执行某些管理任务期间发生任何活动,则可能需要暂时禁用基于事件的任务。用于启用或禁用基于事件的任务的控件位于任务属性窗口的常规选项卡中。