查看事件类型表

应用程序中提供的事件类型显示在应用程序 Web 界面的“设置”→“事件类型”下。

事件类型表包含系统事件类型。这些事件类型是由应用程序在安装过程中创建的，不能从列表中删除。各种系统事件类型集合用于应用程序中采用的事件注册技术。

某些系统事件类型可以用作配置用户定义的事件设置的基础，这些设置将在特定情况下注册事件时使用。可以为以下事件类型定义用户设置：

• 基于深度数据包检测技术的事件类型，代码为 4000002900，用于根据“过程控制”规则注册事件。
• 基于外部技术的事件类型，代码为 4000005400，用于 Kaspersky Industrial CyberSecurity for Networks API 注册事件。

注册事件时，用户定义的设置优先。如果未定义用户设置，则使用系统事件类型中定义的设置。

以下设置可用于事件类型：

• 代码 – 事件类型的唯一编号（标识符）。在事件类型表中，编号与事件标题一起显示在“代码和标题”列中。在已注册事件表中，事件类型标识符显示在“事件类型”列中。
• 标题 – 以文本和/或变量形式呈现的事件标题的内容。系统事件类型仅可以针对这些事件类型使用特定变量（例如，“命令控制”技术的事件类型中的 $systemCommandShort 变量），或者是也可以在用户定义的设置中使用的通用变量（例如“网络完整性控制”技术的事件类型中的 $top_level_protocol 变量）。在事件类型表中，标题的内容与事件类型编号一起显示在“代码和标题”列中。在已注册事件表中，标题文本和/或接收到的变量值显示在“标题”列中。
• 基本分数 – 用于计算注册事件的分数的初始值。如果一个事件类型可以有不同的基本分数，则会显示最大值。此设置显示在事件类型表中。
• 技术 – 用于事件注册的技术。此设置显示在事件类型表中。
• 描述 – 描述事件类型的附加文本。与标题一样，描述可能包含变量。此设置不显示在事件类型表中（您可以在所选事件类型的详细信息区域中查看描述）。在已注册事件表中，描述文本和/或接收到的变量值显示在“描述”列中。
• <收件人连接器名称> – 应用程序用于将事件转发到收件人系统的连接器的名称。应用程序仅向收件人系统发送配置为通过连接器转发的那些类型的事件。配置为将事件转发到第三方系统的每个连接器都显示在风险类型表的单独列中。此设置不会显示在所选事件类型的详细信息区域中。
• 事件再生周期 – 允许再次注册事件的最长时间间隔。如果在指定的时间段过去之前重复事件注册的条件，则不注册新的事件，但是会增加先前注册的事件的重复次数的计数器，并且会更新事件最后发生的日期和时间。经过这段时间后，当重复事件注册条件时，应用程序将注册此类型的新事件。重复事件超时期从上次注册此类型的事件时开始。例如，如果定义的时间段为 8 小时，并且在前一事件发生两小时后检测到注册此类事件的条件，则不会注册新事件。当在 8 小时或更长时间后检测到事件注册条件时，将注册新事件。此设置不显示在事件类型表中（您可以在所选事件类型的详细信息区域中查看和配置此设置）。

  对于已注册的事件，事件重新生成周期可能早于指定的周期。如果将“已解决”状态分配给事件，并且执行服务器功能的计算机已重新启动，则允许在定义的时间段之前重新注册事件。

• 节省流量 – 此设置启用或禁用在注册事件时自动保存流量。此设置不显示在事件类型表中（您可以在所选事件类型的详细信息区域中查看和配置此设置）。

  如果禁用了流量的自动保存，则可以在注册此类事件后一段时间手动加载流量。当应用程序收到加载流量的请求时，它会在应用程序临时创建的流量转储文件中搜索网络数据包。如果在流量转储文件中找到相关的网络数据包，则在将其首次保存到数据库中后加载这些数据包。

查看事件类型表时，您可以使用配置、过滤、搜索和排序功能。

页首