创建基于事件的任务
在本文中,对虚拟机保护的引用不适用于趋势科技服务器深度安全防护系统即服务。
您可以通过基于事件的任务针对特定事件监控受保护计算机,并基于某些条件执行任务。
在主页面上可以执行下列操作:
- 创建新的基于事件的任务 ()
- 查看或修改现有的基于事件的任务的属性 ()
- 复制(然后修改)现有的基于事件的任务 ()
- 删除基于事件的任务 ()
单击新建 (),然后选择新建基于事件的任务。此时将显示一个向导,该向导将引导您完成创建新任务的所有步骤。可能会提示您提供不同的信息,具体视任务类型而定。
可监控的事件
- 已创建计算机(由系统):在与 Active Directory 或云提供程序帐户同步期间向管理中心添加计算机,或在运行虚拟设备的受管理 ESXi Server 上创建虚拟机。
- 已移动计算机(由系统):虚拟机从一个 vApp 移动到同一 ESXi 中的另一个 vApp,或者一台 ESXi 上的虚拟机从一个数据中心移动到另一个数据中心或从一台 ESXi 移动到另一台 ESXi(包括从未受管理的 ESXi Server 移动到运行虚拟设备的受管理 ESXi Server)的虚拟机。
- 客户端启动的激活:使用客户端启动的激活来激活客户端。
- IP 地址已更改:计算机已开始使用不同的 IP。
- NSX 安全组已更改:以下情况会触发此事件(事件将记录在每个受影响的 VM 上):
- 将 VM 添加到与 NSX 趋势科技服务器深度安全防护系统服务配置文件(间接)关联的组中
- 从与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 组中移除 VM
- 将与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 策略应用于 NSX 组
- 从 NSX 组中移除与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 策略
- NSX 策略与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联
- 从 NSX 趋势科技服务器深度安全防护系统服务配置文件中移除 NSX 策略
- 与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联的 NSX 组更改了名称
条件
您可以要求满足特定的匹配条件以便执行任务。(按“加号”按钮可添加其他条件。)如果您指定多个条件,必须满足所有条件才能执行任务。(也就是说,多个条件是“AND”关系的条件,而不是“OR”关系的条件。)
使用 Java 正则表达式语法 (http://docs.oracle.com/javase/6/docs/api/java/util/regex/Pattern.html) 在以下文本框中匹配特征码:
- 云实例镜像 ID:AWS 云实例 AMI ID。
只有 AWS 云实例可使用此匹配条件。
- 云实例元数据:匹配的元数据对应于 Amazon 环境下的 AWS“标记”。
只有 AWS 云实例可使用此匹配条件。目前,与某台计算机相关联的元数据显示在该计算机编辑器窗口的概述页面上。要定义匹配的条件,必须提供两条信息:元数据标记键和元数据标记值。例如,要匹配元数据键名为 "AlphaFunction" 以及值为 "DServer" 的计算机,需要输入 "AlphaFunction" 和 "DServer"(不包括引号)。如果想匹配多个可能的条件,可以使用正则表达式并输入 "AlphaFunction" 和 ".*Server",或 "AlphaFunction" 和 "D.*"。
- 云实例安全组名称:云实例应用到的安全组。
只有 AWS 云实例可使用此匹配条件。
- 云帐户名称:云帐户属性窗口中的“显示名称”文本框。
- 计算机名称:计算机属性窗口中的“主机名”文本框。
- ESXi 名称:托管 VM 计算机的 ESXi Server 的“主机名”字段。ESXi 名称:托管 VM 计算机的 ESXi Server 的“主机名”字段。
- 文件夹名称:计算机在其本地环境中所处的文件夹或目录的名称。
此匹配条件会查找与计算机(包括用于 vCenter Server 集成的 root 数据中心)的任何父文件夹名称匹配的名称。如果您在正则表达式的开头添加了 "*" 字符,则条件必须与所有父文件夹上的名称匹配。此方法在正则表达式中与否定式结合时尤其有用。例如,如果您要匹配文件夹名称中不包含 "Linux" 的文件夹中的计算机,可以使用
*^((?!Linux).)*$
这样的正则表达式。 - NSX 安全组名称:此条件下的潜在组的列表仅指与 NSX 策略(与 NSX 趋势科技服务器深度安全防护系统服务配置文件关联)关联的 NSX 组。VM 可能是其他 NSX 组的成员,但它对于此匹配条件是不相关的。
- 平台:计算机的操作系统。
- vCenter 名称:已添加到趋势科技服务器深度安全防护系统管理中心的计算机 vCenter 属性的“名称”文本框。
Java 正则表达式示例:
要匹配: | 请使用: |
任意字符串(但不能为空) | .+ |
空字符串(无文本) | ^$ |
文件夹 Alpha | Folder\ Alpha |
FIN-1234 | FIN-\d+ 或 FIN-.* |
RD-ABCD | RD-\w+ 或 RD-.* |
AB 或 ABC 或 ABCCCCCCCCCC |
ABC* |
Microsoft Windows 2003 或 Windows XP |
.*Windows.* |
Red Hat 7 或 Some_Linux123 或 abcFreeBSD |
.*Red.*|.*Linux.*|.*FreeBSD.* |
以下两个条件匹配 True 或 False 条件:
- 设备保护可用:趋势科技服务器深度安全防护系统虚拟设备可用于保护托管 VM 的 ESXi 上的 VM。VM 可能处于也可能不处于“已激活”状态。
- 设备保护已激活:在托管虚拟机并且虚拟机处于“已激活”状态的 ESXi 上,趋势科技服务器深度安全防护系统虚拟设备可用于保护这些虚拟机。
最后一个条件选项在 IP 列表中查找此 IP 的匹配项:
- 上次使用的 IP 地址:计算机的当前 IP 地址或最后一次的已知 IP 地址。
操作
可根据检测到的上述事件执行以下操作:
- 激活计算机:在计算机上激活趋势科技服务器深度安全防护系统防护。
- 延迟激活时间(分钟):按指定的分钟数延迟激活。
- 如果基于事件的任务要对某个 VM 应用防护,而该 VM 将通过 vMotion 操作迁移到受趋势科技服务器深度安全防护系统虚拟设备保护的 ESXi,请添加激活前的延迟,以便完成任何未决的 VMware 管理任务。延迟时间因环境而异。
- 仅当尚未激活计算机时,才执行激活操作。也就是说,仅当计算机未受客户端或虚拟设备保护或者计算机仅受客户端保护但虚拟设备保护可用时,才执行激活。
- 停用计算机:在计算机上停用趋势科技服务器深度安全防护系统防护。
- 分配策略:自动为新计算机分配策略。(必须先激活该计算机。)
- 分配中继组:为新计算机自动分配中继组,此计算机将从该中继组接收安全更新。
- 分配给计算机组:将计算机置于“计算机”页面上的计算机组之一。
执行顺序
如果同一条件触发了多个基于事件的任务,将按任务名称的字母顺序执行这些任务。
启用或禁用基于事件的任务
可以启用或禁用现有的基于事件的任务。例如,如果您不希望在执行某些管理任务期间发生任何活动,则可能需要暂时禁用基于事件的任务。用于启用或禁用基于事件的任务的控件位于任务的属性窗口的常规选项卡中。