通知文本由Dr.Web服务器的组件以模板文件为基础生成,该组件名称为模板处理器。
|
Windows网络通知系统只限支持 Windows Messenger(Net Send)服务的Windows操作系统。 OS Windows Vista及更高版本不支持Windows Messenger服务。 |
模板文件由文字和括号中的变量组成。编辑模板文件时可以使用以下变量。
变量采用下述一种方式写入:
•{<VAR>}——直接替代为变量值<VAR>。
•{<VAR>:<N>}——变量<VAR>开始的<N>个符号。
•{<VAR>:<first>:<N>}——变量<VAR>开始的<N>个符号,在<first>个符号之后(从第<first>+1个符号开始),如剩余符号数量不够,右侧添加空格。
•{<VAR>:<first>:-<N>}——变量<VAR>开始的<N>个符号,在<first>个符号之后(从第<first>+1个符号开始)的,如剩余符号数量不够,左侧添加空格。
•{<VAR>/<original1>/<replace1>[/<original2>/<replace2>]}——将变量<VAR>指定符号替换为设定值:符号<original1> 替换为<replace1>,存在符号<original2>时替换为<replace2>,以此类推。
替换对数量不限。
•{<VAR>/<original1>/<replace1[{<SUB_VAR>}]>[/<original2>/<replace2>]}——与上面介绍的替换为指定值类似,但使用的内嵌变量为<SUB_VAR>。带内嵌变量的操作与带父变量的所有操作类似。
递归替换时内嵌深度不限。
•{<VAR>/<original1>/<replace1>/<original2>/<replace2>/*/<replace3>}——与上面介绍的替换为指定值类似,但可以替换<replace3>的指定值,如某原值不符。如<VAR>中既没有<original1>,也没有<original2>,所有值都会替换为<replace3>。
变量写入格式
变量 |
说明 |
表达式 |
结果 |
|---|---|---|---|
SYS.TIME |
10:35:17:456 |
{SYS.TIME:5} |
10:35 |
SYS.TIME |
10:35:17:456 |
{SYS.TIME:3:5} |
35:17 |
SYS.TIME |
10:35:17:456 |
{SYS.TIME:3:-12} |
°°°35:17:456 |
SYS.TIME |
10:35:17:456 |
{SYS.TIME:3:12} |
35:17:456°°° |
SYS.TIME |
10:35:17:456 |
{SYS.TIME/10/99/35/77} |
99:77:17:456 |
°——空格符号。 |
环境变量
编写通知内容可使用Dr.Web服务器进程的环境变量(用户System)。
环境变量在管理中心通知编辑器的ENV下拉列表。请注意:环境变量必须添加前缀ENV.(前缀以点结束)。
系统变量
•SYS.BRANCH——代理端和Dr.Web服务器版本,
•SYS.BUILD——Dr.Web服务器的组装日期,
•SYS.DATE——当前系统日期,
•SYS.DATETIME——当前系统日期和时间,
•SYS.HOST——Dr.Web服务器的DNS名称,
•SYS.MACHINE——安装Dr.Web服务器的计算机的网络地址,
•SYS.OS——安装Dr.Web服务器的计算机操作系统名称,
•SYS.PLATFORM——Dr.Web服务器平台,
•SYS.PLATFORM.SHORT——SYS.PLATFORM简称,
•SYS.SERVER——产品名称(Dr.Web Server),
•SYS.TIME——当前系统时间,
•SYS.VERSION——Dr.Web服务器版本。
•GEN.LoginTime——工作站连接时间,
•GEN.StationAddress——工作站地址,
•GEN.StationDescription——工作站描述,
•GEN.StationID——工作站独有识别码,
•GEN.StationLDAPDN——OS Windows工作站区分名称(distinguished name)。ADS/LDAP域包含的工作站具备此名称。
•GEN.StationMAC——工作站MAC地址,
•GEN.StationName——工作站名称,
•GEN.StationPrimaryGroupID——工作站基组识别码,
•GEN.StationPrimaryGroupName——工作站基组名称,
•GEN.StationSID——工作站安全识别码。
•GEN.CurrentRevision——当前版本识别码,
•GEN.Folder——产品所在的目录,
•GEN.NextRevision——已更新版本识别码,
•GEN.Product——产品描述。
各类型通知的参数和变量
管理员
管理员身份验证出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
管理员未能成功登录管理中心时发送。通知内容为登录出错的原因。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Login |
注册用户名 |
MSG.Address |
管理中心网络地址 |
|
MSG.LoginErrorCode |
错误数字代码 |
|
未知管理员
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
使用管理员未知注册名试图登录管理中心时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Login |
注册用户名 |
MSG.Address |
管理中心网络地址 |
|
安装
此组通知还可使用工作站常规变量,见上。
未能在工作站完成安装
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
工作站安装代理端出错时发送此通知。通知中包含错误原因。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Error |
出错通知 |
已在工作站成功完成安装
参数 |
说明 |
|---|---|
发送通知的原因 |
工作站已成功安装代理端时发送此通知。 |
高级设置 |
不需指定。 |
变量 |
无。 |
授权
组中工作站数量已接近授权上限
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
组中工作站数量已接近为此组指定的授权上限时发送此通知。 |
|
高级设置 |
发送此通知时密钥剩余授权的数量为:或少于三个授权,或低于密钥授权总量的5%。 |
|
变量 |
MSG.Free |
剩余可用授权的数量 |
MSG.Licensed |
使用此组授权的工作站数量 |
|
MSG.Total |
指定给此组的所有密钥的授权数量总计。 请注意:组授权密钥有可能同时指定给其他授权对象。 |
|
GEN.StationPrimaryGroupID |
基组ID |
|
GEN.StationPrimaryGroupName |
基组名称 |
|
网络中工作站数量已达到授权上限
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
工作站连接Dr.Web服务器时发现此工作站所在组中的工作站数量已超出为其指定的授权密钥规定的数量时发送。 这时新工作站无法在Dr.Web服务器注册。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.ID |
工作站UUID |
MSG.StationName |
工作站名称 |
|
还有工作站常规变量,见上。 |
||
授权密钥无法自动更新
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
无法自动更新授权时发送此通知。无法自动更新的原因是当前授权组件有别于新授权。这时新密钥已成功加载,但没有分发到原授权中的对象。必须手动更换授权密钥。 |
|
高级设置 |
自动更新授权的详细信息参见管理员手册中的自动更新授权。 |
|
变量 |
MSG.ExpirationDate |
授权到期日期 |
MSG.Expired |
•1——已到期 •0——未到期 |
|
MSG.KeyDifference |
无法自动更换密钥的原因: •1——当前密钥与新密钥授权组件不同 •2——新授权数量少于当前授权 |
|
MSG.KeyId |
原授权密钥识别码 |
|
MSG.KeyName |
原授权密钥名称 |
|
MSG.NewKeyId |
新授权密钥识别码 |
|
MSG.NewKeyName |
新授权密钥名称 |
|
授权密钥自动更新
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
授权密钥自动更新后发送此通知。这时新密钥已成功加载并分发到原授权密钥的所有对象。 |
|
高级设置 |
自动更新授权的详细信息参见管理员手册中的自动更新授权。 |
|
变量 |
MSG.KeyId |
原授权密钥识别码 |
MSG.KeyName |
原授权密钥名称 |
|
MSG.NewKeyId |
新授权密钥识别码 |
|
MSG.NewKeyName |
新授权密钥名称 |
|
授权密钥已被锁
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从Dr.Web全球更新系统更新库时获得授权密钥已被锁的信息时发送此通知。这一密钥无法继续使用。 |
|
高级设置 |
了解被锁原因详细信息请联系技术支持部门。 |
|
变量 |
MSG.KeyId |
授权密钥ID |
MSG.KeyName |
授权密钥用户名 |
|
已达到传送授权数量限制
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
给Dr.Web邻居服务器分发的授权数量超过授权密钥允许的数量时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.ObjId |
授权密钥ID |
授权传送期超时
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从此Dr.Web服务器授权密钥向Dr.Web邻居服务器分发授权的分发期限到期时发送。 |
|
高级设置 |
向Dr.Web邻居服务器分发授权的分发期限在管理 → Dr.Web服务器配置 → 授权中给出。 |
|
变量 |
MSG.ObjId |
授权密钥ID |
MSG.Server |
Dr.Web邻居服务器名称 |
|
授权密钥中的授权数量限制
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
打开Dr.Web服务器是发现某组中的工作站数量已超出为其指定的授权密钥中的授权数量时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.KeyId |
授权密钥ID |
MSG.KeyName |
授权密钥用户名 |
|
MSG.Licensed |
允许的授权数量 |
|
MSG.LicenseLimit |
授权状态: •1——授权密钥中可用授权数量剩余不多, •2——授权密钥中可用授权已用完, •3——授权密钥指定的对象数量已超过此密钥的允许值。 |
|
MSG.Licensed |
授权密钥指定的对象数量 |
|
MSG.Total |
密钥中的授权数量 |
|
授权密钥到期
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
授权密钥即将到期且不可自动更新时发送此通知。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.ExpirationDate |
授权到期日期 |
MSG.Expired |
•1——已到期 •0——未到期 |
|
MSG.KeyId |
授权密钥识别码 |
|
MSG.KeyName |
授权密钥名称 |
|
新工作站
此组通知还可使用工作站常规变量,见上。
工作站在等待确认
参数 |
说明 |
|---|---|
发送通知的原因 |
新工作站申请连接Dr.Web服务器后管理员需手动确认或拒绝工作站访问时发送。 |
高级设置 |
出现这种情况的条件是管理 → Dr.Web服务器配置 → 常规部分的新工作站注册模式设置为手动确认。 |
变量 |
无。 |
工作站已被自动拒绝
参数 |
说明 |
|---|---|
发送通知的原因 |
新工作站申请连接Dr.Web服务器并得到Dr.Web服务器自动拒绝时发送。 |
高级设置 |
出现这种情况的条件是管理 → Dr.Web服务器配置 → 常规部分的新工作站注册模式设置为总是拒绝访问。 |
变量 |
无。 |
工作站已被管理员拒绝
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
新工作站申请连接Dr.Web服务器后被管理员手动拒绝时发送。 |
|
高级设置 |
出现这种情况的条件是管理 → Dr.Web服务器配置 → 常规部分的新工作站注册模式设置为手动确认,而管理员为工作站选择了反病毒网络 → |
|
变量 |
MSG.AdminAddress |
管理中心网络地址 |
MSG.AdminName |
管理员姓名 |
|
未确认的工作站 → 
拒绝所选工作站访问库
此组通知还可使用库常规变量,见上。
库产品更新已被冻结
参数 |
说明 |
|---|---|
发送通知的原因 |
库中产品被管理员冻结时发送此通知。这时不从全球更新系统进行产品更新。 |
高级设置 |
管理库中产品,包括冻结或解除冻结利用的是管理 → 库详细配置。 |
变量 |
无。 |
已启动库中产品更新
参数 |
说明 |
|---|---|
发送通知的原因 |
检查库更新如发现要更新的产品需要最新时发送此通知。启动从全球更新系统的产品更新。 |
高级设置 |
不需指定。 |
变量 |
无。 |
已启动库更新
参数 |
说明 |
|---|---|
发送通知的原因 |
在Dr.Web服务器更新过程中二次启动更新时发送。 |
高级设置 |
不需指定。 |
变量 |
无。 |
库更新出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
库中某产品从全球更新系统更新库或更新某产品出错时发送此通知。通知中包含产品名称和产品更新出错具体原因。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Error |
出错通知 |
MSG.ExtendedError |
错误详细描述 |
|
库中产品当前状态
参数 |
说明 |
|---|---|
发送通知的原因 |
检查库更新如发现要更新的产品为最新状态时发送此通知。不需要从全球更新系统更新此产品。 |
高级设置 |
不需指定。 |
变量 |
无。 |
|
库中产品当前状态模板的变量不包括在产品配置文件中被标为通知时忽略的文件,参见F1.配置文件.config句法。 |
库产品已更新
通知 |
说明 |
|
|---|---|---|
发送通知的原因 |
库从全球更新系统成功更新时发送此通知。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Addded |
已添加文件列表(每行单列一个名称) |
MSG.AddedCount |
已添加文件的数量 |
|
MSG.Deleted |
已删除文件列表(每行单列一个名称) |
|
MSG.DeletedCount |
已删除文件数量 |
|
MSG.Replaced |
已更换文件列表(每行单列一个名称) |
|
MSG.ReplacedCount |
已更换文件的数量 |
|
磁盘空间不足
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
Dr.Web服务器动态数据目录var所在磁盘可用空间剩余有限时发送。 |
|
高级设置 |
如不是有环境变量预定,磁盘剩余空间小于315MB或低于1000点(对于UNIX家族操作系统)时为磁盘空间不足。 |
|
变量 |
库常规变量,见上,不可用。 |
|
MSG.FreeInodes |
自由文件句柄inodes数量(只针对某些UNIX操作系统) |
|
MSG.FreeSpace |
可用空间字节数 |
|
MSG.Path |
占用少量内存的目录的路径 |
|
MSG.RequiredInodes |
运行所需自由inodes数量(只针对某些UNIX操作系统) |
|
MSG.RequiredSpace |
运行所需可用内存空间 |
|
其它
记录到应用程序监控多次阻止
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
工作站组件应用程序监控大量阻止应用时发送。 |
|
高级设置 |
发送大量阻止应用通知需在管理 → Dr.Web服务器配置 → 统计信息部分勾选应用程序监控大量阻止一项,同时可设置相应参数。 |
|
变量 |
MSG.Total |
阻止总量 |
MSG.Profile |
阻止依据最多的模式 |
|
记录连接意外结束的日志
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
记录到与客户端有大量非正常连接中断时发送,包括与工作站、代理端安装程序、Dr.Web邻居服务器、代理服务器的连接。 |
|
高级设置 |
发送大量连接非正常结束通知需在管理 → Dr.Web服务器配置 → 统计信息部分勾选连接非正常结束一项,同时可设置相应参数。 |
|
变量 |
MSG.Total |
中断的连接数量 |
MSG.AddrsCount |
出现连接中断的地址数量 |
|
Dr.Web服务器日志轮循出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
Dr.Web服务器运行日志轮循过程出错时发送通知。通知内容为日志轮循出错的原因。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Error |
错误内容 |
Dr.Web服务器日志写入出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
Dr.Web服务器运行日志信息记录出错时发送通知。通知内容为日志记录出错的原因。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Error |
错误内容 |
网络病毒流行
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
发现反病毒网络出现病毒流行后发送。这表明在指定时间段侦测到的威胁数量超过了设定值。 |
|
高级设置 |
发送病毒流行通知需在管理 → Dr.Web服务器配置 → 统计信息部分勾选追踪病毒流行一项。同时可设置判断出现病毒流行的参数。 |
|
变量 |
MSG.Infected |
侦测到的威胁总数 |
MSG.Virus |
最常见的威胁 |
|
Dr.Web邻居服务器久未连接
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
按照Dr.Web服务器任务日程中的任务发送。内容是通知Dr.Web邻居服务器很长时间未连接本Dr.Web服务器。通知中有上次连接的日期。 |
|
高级设置 |
Dr.Web邻居服务器未连接的时长,达到此时限发送通知,此参数在管理 → Dr.Web服务器任务计划器的Dr.Web服务器日程Dr.Web邻居服务器久未连接这一任务中指定。 |
|
变量 |
MSG.LastDisconnectTime |
Dr.Web服务器上次连接的时间 |
MSG.StationName |
邻居服务器名称 |
|
统计报告
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
按照Dr.Web服务器日程中的任务生成定期报告后发送。通知中包含下载报告文件的路径。 |
|
高级设置 |
创建报告按照在管理 → Dr.Web服务器任务计划器设置的Dr.Web服务器日程中的创建统计报告这一任务。 |
|
变量 |
MSG.Attachment |
报告路径 |
MSG.AttachmentType |
MIME类型 |
|
GEN.File |
日志文件名称 |
|
预防性保护汇总报告
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从网络工作站预防性保护组件获得大量报告时发送。 |
|
高级设置 |
发送预防性保护汇总报告需在管理 → Dr.Web服务器配置 → 统计信息部分勾选汇总预防性保护报告一项。同时可设置汇总报告的参数。 |
|
变量 |
MSG.AutoBlockedActCount |
被自动阻止的可疑进程的数量 |
MSG.AutoBlockedProc |
被自动阻止的可疑进程 |
|
MSG.HipsType |
受保护对象类型 |
|
MSG.IsShellGuard |
按照自动阻止进程时预防性保护的反应类型区分: •阻止未验证码 •检查对受保护对象的访问 |
|
MSG.ShellGuardType |
自动阻止事件时最常见的阻止未验证码执行的原因 |
|
MSG.Total |
预防性保护在网络记录到的事件的数量 |
|
MSG.UserAllowedActCount |
被用户允许的可疑进程的数量 |
|
MSG.UserAllowedHipsType |
被用户允许访问的最常受到保护的对象类型 |
|
MSG.UserAllowedIsShellGuard |
按照被用户允许访问时预防性保护的反应类型区分: •阻止未验证码 •检查对受保护对象的访问 |
|
MSG.UserAllowedProc |
被用户允许的可疑进程 |
|
MSG.UserAllowedShellGuard |
用户允许事件时最常见的阻止未验证码执行的原因 |
|
MSG.UserBlockedActCount |
被用户阻止的可疑进程的数量 |
|
MSG.UserBlockedHipsType |
被用户禁止访问的最常受到保护的对象类型 |
|
MSG.UserBlockedIsShellGuard |
按照被用户禁止访问时预防性保护的反应类型区分: •阻止未验证码 •检查对受保护对象的访问 |
|
MSG.UserBlockedProc |
被用户阻止的可疑进程 |
|
MSG.UserBlockedShellGuard |
用户阻止事件时最常见的阻止未验证码执行的原因 |
|
工作站
此组通知还可使用工作站常规变量,见上。
|
在对服务器网络可以获取邻居服务器下属工作站的时间通知。可在设置与Dr.Web邻居服务器时启用此选项(参见管理员手册的设置Dr.Web服务器间连接)。 可收到Dr.Web邻居服务器的以下事件通知:发现安全威胁、预防性保护报告、扫描错误、扫描统计信息。 |
预防性保护报告
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
获得来自工作站或Dr.Web邻居服务器的预防性保护报告时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.AdminName |
对可疑进程采取操作的管理员 |
MSG.Denied |
对可疑进程采取的操作 •禁止 •允许 |
|
MSG.HipsType |
受保护对象类型 |
|
MSG.IsShellGuard |
按照预防性保护的反应类型区分: •阻止未验证码 •检查对受保护对象的访问 |
|
MSG.Path |
可疑进程路径 |
|
MSG.Pid |
可疑进程识别码 |
|
MSG.ShellGuardType |
阻止执行未验证码的原因 |
|
MSG.StationTime |
工作站出现事件的时间 |
|
MSG.Target |
被企图访问的受保护对象路径 |
|
MSG.Total |
预防性保护自动反应时禁止的数量 |
|
MSG.User |
用户名,可疑进程以其名义启动 |
|
MSG.UserAction |
对可疑进程采取的操作的发起人: •用户 •预防性保护的自动反应 |
|
GEN.ServerRecvLinkID |
上次收到其下属工作站预防性保护报告的Dr.Web邻居服务器的UUID(如报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerRecvLinkName |
上次收到其下属工作站预防性保护报告的Dr.Web邻居服务器的名称(如报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerOriginatorID |
收到其下属工作站预防性保护报告的Dr.Web服务器的UUID。 |
|
GEN.ServerOriginatorName |
收到其下属工作站预防性保护报告的Dr.Web服务器的名称。 |
|
预防性保护的根据已知威胁哈希值侦测威胁报告
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
按已知哈希列表侦测到威胁后获得来自工作站或Dr.Web邻居服务器的预防性保护报告时发送。 |
|
高级设置 |
按已知哈希列表侦测到威胁的通知可以使用的前提是已授权使用已知威胁哈希值公报(Dr.Web服务器使用的授权密钥中的一个授权包含此授权即可)。 是否存在此授权见授权没有信息,可在授权管理器查看是否有参数允许的哈希公报列表(如没有此功能授权,则没有这一参数)。 |
|
变量 |
MSG.AdminName |
对可疑进程采取操作的管理员 |
MSG.Denied |
对可疑进程采取的操作 •禁止 •允许 |
|
MSG.Document |
包含所发现的威胁的哈希值的公报 |
|
MSG.HipsType |
受保护对象类型 |
|
MSG.IsShellGuard |
按照预防性保护的反应类型区分: •阻止未验证码 •检查对受保护对象的访问 |
|
MSG.Path |
可疑进程路径 |
|
MSG.Pid |
可疑进程识别码 |
|
MSG.SHA1 |
侦测到的对象的哈希值SHA-1 |
|
MSG.SHA256 |
侦测到的对象的哈希值SHA-256 |
|
MSG.ShellGuardType |
阻止执行未验证码的原因 |
|
MSG.StationTime |
工作站出现事件的时间 |
|
MSG.Target |
被企图访问的受保护对象路径 |
|
MSG.Total |
预防性保护自动反应时禁止的数量 |
|
MSG.User |
用户名,可疑进程以其名义启动 |
|
MSG.UserAction |
对可疑进程采取的操作的发起人: •用户 •预防性保护的自动反应 |
|
GEN.ServerRecvLinkID |
上次收到其下属工作站预防性保护报告的Dr.Web邻居服务器的UUID(如报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerRecvLinkName |
上次收到其下属工作站预防性保护报告的Dr.Web邻居服务器的名称(如报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerOriginatorID |
收到其下属工作站预防性保护报告的Dr.Web服务器的UUID。 |
|
GEN.ServerOriginatorName |
收到其下属工作站预防性保护报告的Dr.Web服务器的名称。 |
|
设备已被锁
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从工作站接收到连接工作站的设备已被Dr.Web组件阻止时发送此通知。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Capabilities |
设备特征 |
MSG.Class |
设备等级(父组名称) |
|
MSG.Description |
设备描述 |
|
MSG.FriendlyName |
设备可识别的名称 |
|
MSG.InstanceId |
一个设备的识别码 |
|
MSG.User |
用户名 |
|
应用程序监控已阻止已知威胁哈希列表中的进程
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
某工作站应用程序监控组件阻止威胁已知哈希值列表中的应用时发送。 |
|
高级设置 |
按已知哈希列表侦测到威胁的通知可以使用的前提是已授权使用已知威胁哈希值公报(Dr.Web服务器使用的授权密钥中的一个授权包含此授权即可)。 是否存在此授权见授权没有信息,可在授权管理器查看是否有参数允许的哈希公报列表(如没有此功能授权,则没有这一参数)。 |
|
变量 |
MSG.AppCtlAction |
所采取的操作: •0——未知, •2——已阻止, •3——已阻止(不在可信任应用列表), •5——已根据禁止性规则阻止, •7——已根据策略设置阻止。 |
MSG.AppCtlType |
事件类型: •0——未知, •1——启动进程, •2——启动主机进程, •3——启动脚本解释器, •4——加载模块, •5——加载驱动程序, •6——启动MSI安装器, •7——在磁盘创建新的可执行文件, •8——在磁盘更改可执行文件, |
|
MSG.Document |
显示哈希值的公报 |
|
MSG.Path |
被阻止进程的路径 |
|
MSG.Profile |
阻止依据的模式的名称 |
|
MSG.Rule |
按期进行阻止的规则的名称 |
|
MSG.SHA256 |
被阻止进程的哈希值(SHA-256) |
|
MSG.StationTime |
进程被阻止的工作站时间 |
|
MSG.Target |
进程为主机进程时被阻止脚本的路径 |
|
MSG.TargetSHA256 |
进程为主机进程时被阻止脚本的哈希值(SHA-256) |
|
MSG.TestMode |
是否启用测试状态 |
|
MSG.User |
以其账户启动被阻止对象的用户 |
|
应用程序监控已阻止进程
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
某工作站上的应用被应用程序监控组件阻止时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.AppCtlAction |
所采取的操作: •0——未知, •2——已阻止, •3——已阻止(不在可信任应用列表), •5——已根据禁止性规则阻止, •7——已根据策略设置阻止。 |
MSG.AppCtlType |
事件类型: •0——未知, •1——启动进程, •2——启动主机进程, •3——启动脚本解释器, •4——加载模块, •5——加载驱动程序, •6——启动MSI安装器, •7——在磁盘创建新的可执行文件, •8——在磁盘更改可执行文件, |
|
MSG.Path |
被阻止进程的路径 |
|
MSG.Profile |
阻止依据的模式的名称 |
|
MSG.Rule |
按期进行阻止的规则的名称 |
|
MSG.SHA256 |
被阻止进程的哈希值(SHA-256) |
|
MSG.StationTime |
进程被阻止的工作站时间 |
|
MSG.Target |
进程为主机进程时被阻止脚本的路径 |
|
MSG.TargetSHA256 |
进程为主机进程时被阻止脚本的哈希值(SHA-256) |
|
MSG.TestMode |
是否启用测试状态 |
|
MSG.User |
以其账户启动被阻止对象的用户 |
|
侦测到安全威胁
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从工作站接收到发现威胁时发送此通知。通知中包含侦测到的威胁的详细信息。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Action |
侦测后所采取的操作 |
MSG.Component |
组件名称 |
|
MSG.InfectionType |
威胁类型 |
|
MSG.ObjectName |
已感染对象名称 |
|
MSG.ObjectOwner |
已感染对象所有人 |
|
MSG.RunBy |
以其账户启动组件的用户 |
|
MSG.ServerTime |
获取事件时间,GMT |
|
MSG.Virus |
威胁名称 |
|
GEN.ServerRecvLinkID |
上次收到其下属工作站侦测到威胁报告的Dr.Web邻居服务器的UUID(如威胁侦测报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerRecvLinkName |
上次收到其下属工作站侦测到威胁报告的Dr.Web邻居服务器的名称(如威胁侦测报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerOriginatorID |
收到其下属工作站侦测到威胁报告的Dr.Web服务器的UUID。 |
|
GEN.ServerOriginatorName |
收到其下属工作站侦测到威胁报告的Dr.Web服务器的名称。 |
|
根据已知威胁哈希值发现安全威胁
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从工作站接收到根据已知威胁哈希值发现威胁时发送此通知。发给管理员的通知中包含侦测到的威胁的详细信息。 |
|
高级设置 |
按已知哈希列表侦测到威胁的通知可以使用的前提是已授权使用已知威胁哈希值公报(Dr.Web服务器使用的授权密钥中的一个授权包含此授权即可)。 是否存在此授权见授权没有信息,可在授权管理器查看是否有参数允许的哈希公报列表(如没有此功能授权,则没有这一参数)。 |
|
变量 |
MSG.Action |
侦测后所采取的操作 |
MSG.Component |
组件名称 |
|
MSG.Document |
包含所发现的威胁的哈希值的公报 |
|
MSG.InfectionType |
威胁类型 |
|
MSG.ObjectName |
已感染对象名称 |
|
MSG.ObjectOwner |
已感染对象所有人 |
|
MSG.RunBy |
以其账户启动组件的用户 |
|
MSG.SHA1 |
侦测到的对象的哈希值SHA-1 |
|
MSG.SHA256 |
侦测到的对象的哈希值SHA-256 |
|
MSG.ServerTime |
获取事件时间,GMT |
|
MSG.Virus |
威胁名称 |
|
GEN.ServerRecvLinkID |
上次收到其下属工作站侦测到威胁报告的Dr.Web邻居服务器的UUID(如威胁侦测报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerRecvLinkName |
上次收到其下属工作站侦测到威胁报告的Dr.Web邻居服务器的名称(如威胁侦测报告来自与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerOriginatorID |
收到其下属工作站侦测到威胁报告的Dr.Web服务器的UUID。 |
|
GEN.ServerOriginatorName |
收到其下属工作站侦测到威胁报告的Dr.Web服务器的名称。 |
|
工作站登录出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
工作站尝试连接Dr.Web服务器时提供的账户信息有误时发送。通知中还包含按照工作站连接策略所应采取的操作。 |
|
高级设置 |
工作站连接策略在管理 → Dr.Web服务器配置 → 常规部分的 新工作站注册模式设置。 |
|
变量 |
MSG.ID |
工作站UUID |
MSG.Rejected |
数值: •rejected——工作站被拒绝登录 •newbie——已尝试将工作站转为“新工作站”状态; |
|
MSG.StationName |
工作站名称 |
|
创建工作站账户出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
如无法在Dr.Web工作站创建新的工作站账户时发送。错误相关选项会记录到Dr.Web服务器日志。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.ID |
工作站UUID |
MSG.StationName |
工作站名称 |
|
扫描进程出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从工作站接收到扫描出错信息时发送此通知。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Component |
组件名称 |
MSG.Error |
出错通知 |
|
MSG.ObjectName |
对象名称 |
|
MSG.ObjectOwner |
对象所有人 |
|
MSG.RunBy |
以其账户启动组件的用户 |
|
MSG.ServerTime |
获取事件时间,GMT |
|
GEN.ServerRecvLinkID |
上次收到其下属工作站扫描尺寸的Dr.Web邻居服务器的UUID(如扫描出错的是与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerRecvLinkName |
上次收到其下属工作站扫描尺寸的Dr.Web邻居服务器的名称(如扫描出错的是与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerOriginatorID |
收到其下属工作站扫描出错的Dr.Web服务器的UUID。 |
|
GEN.ServerOriginatorName |
收到其下属工作站扫描出错的Dr.Web服务器的名称。 |
|
工作站更新出现重大错误
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从工作站获得从Dr.Web服务器获得反病毒组件更新的过程出错通知时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Product |
可更新产品 |
MSG.ServerTime |
Dr.Web获得通知的本地时间 |
|
根据已知威胁哈希值侦测威胁时扫描出错
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
根据已知威胁哈希值侦测威胁如扫描出错则发送此通知。 |
|
高级设置 |
按已知哈希列表侦测到威胁的通知可以使用的前提是已授权使用已知威胁哈希值公报(Dr.Web服务器使用的授权密钥中的一个授权包含此授权即可)。 是否存在此授权见授权没有信息,可在授权管理器查看是否有参数允许的哈希公报列表(如没有此功能授权,则没有这一参数)。 |
|
变量 |
MSG.Component |
组件名称 |
MSG.Document |
包含所发现的威胁的哈希值的公报 |
|
MSG.Error |
出错通知 |
|
MSG.ObjectName |
对象名称 |
|
MSG.ObjectOwner |
对象所有人 |
|
MSG.RunBy |
以其账户启动组件的用户 |
|
MSG.SHA1 |
侦测到的对象的哈希值SHA-1 |
|
MSG.SHA256 |
侦测到的对象的哈希值SHA-256 |
|
MSG.ServerTime |
获取事件时间,GMT |
|
GEN.ServerRecvLinkID |
上次收到其下属工作站扫描尺寸的Dr.Web邻居服务器的UUID(如扫描出错的是与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerRecvLinkName |
上次收到其下属工作站扫描尺寸的Dr.Web邻居服务器的名称(如扫描出错的是与本Dr.Web服务器直接连接的工作站则词参数为空)。 |
|
GEN.ServerOriginatorID |
收到其下属工作站扫描出错的Dr.Web服务器的UUID。 |
|
GEN.ServerOriginatorName |
收到其下属工作站扫描出错的Dr.Web服务器的名称。 |
|
扫描统计信息
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从工作站接收到结束扫描信息时发送此通知。通知中包含简短的扫描结果统计信息。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Component |
进行扫描的组件名称 |
MSG.Cured |
已清除的对象数量 |
|
MSG.DeletedObjs |
已删除的对象数量 |
|
MSG.Errors |
扫描错误数量 |
|
MSG.Infected |
已感染对象数量 |
|
MSG.Locked |
已阻止对象数量 |
|
MSG.Modifications |
被病毒变种感染的对象数量 |
|
MSG.Moved |
已隔离对象数量 |
|
MSG.Renamed |
已重命名对象数量 |
|
MSG.RunBy |
以其账户启动组件的用户 |
|
MSG.Scanned |
已扫描对象数量 |
|
MSG.ServerTime |
获取事件时间,GMT |
|
MSG.Speed |
处理速度(KB/秒) |
|
MSG.Suspicious |
可疑对象数量 |
|
MSG.VirusActivity |
侦测到的病毒总数 |
|
GEN.ServerRecvLinkID |
上次收到其下属工作站扫描统计信息的Dr.Web邻居服务器的UUID(如扫描信息来自与本Dr.Web服务器直接连接的工作站,则此参数为空)。 |
|
GEN.ServerRecvLinkName |
上次收到其下属工作站扫描统计信息的Dr.Web邻居服务器的名称(如扫描信息来自与本Dr.Web服务器直接连接的工作站,则此参数为空)。 |
|
GEN.ServerOriginatorID |
收到其下属工作站扫描统计信息的Dr.Web服务器的UUID。 |
|
GEN.ServerOriginatorName |
收到其下属工作站扫描统计信息的Dr.Web服务器的名称。 |
|
未知工作站
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
新工作站申请连接Dr.Web服务器但在确认前无法访问会被拒绝时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.ID |
未知工作站的UUID |
MSG.Rejected |
数值: •rejected——工作站被拒绝登录 •newbie——已尝试将工作站转为“新工作站”状态; |
|
MSG.StationName |
工作站名称 |
|
连接错误结束
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
与客户端错误中断连接是发送,客户端包括:工作站、代理端安装程序、Dr.Web邻居服务器、代理服务器。 |
|
高级设置 |
发送连接非正常结束通知需在管理 → Dr.Web服务器配置 → 统计信息部分勾选连接非正常结束一项,同时可设置相应参数。 |
|
变量 |
MSG.Total |
中断的连接数量 |
MSG.Type |
客户端类型 |
|
工作站已注册
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
此通知在试图连接Dr.Web服务器的工作站识别码与已连接此Dr.Web服务器的工作站识别码相同时发送。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.ID |
工作站UUID |
MSG.Server |
已注册工作站的Dr.Web服务器的ID |
|
MSG.StationName |
工作站名称 |
|
工作站久未连接Dr.Web服务器
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
按照Dr.Web服务器任务日程中的任务发送。内容是通知工作站很长时间未连接本Dr.Web服务器。通知中有上次连接的日期。 |
|
高级设置 |
工作站未连接的时长,达到此时限发送通知,此参数在管理 → Dr.Web服务器任务计划器的Dr.Web服务器日程工作站久未连接这一任务中指定。 |
|
变量 |
工作站常规变量,见上,不可用。 |
|
MSG.DaysAgo |
上次连接Dr.Web服务器后已过天数 |
|
MSG.LastSeenFrom |
工作站上次连接Dr.Web服务器使用的地址 |
|
MSG.StationDescription |
工作站描述 |
|
MSG.StationID |
工作站UUID |
|
MSG.StationMAC |
工作站MAC地址 |
|
MSG.StationName |
工作站名称 |
|
MSG.StationSID |
工作站安全识别码 |
|
必须重启工作站
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
因以下原因必须重启工作站时发送此通知: •完成清除, •应用更新, •更改硬件虚拟化状态, •完成清除并应用更新, •完成清除并更改硬件虚拟化状态, •应用更新并更改硬件虚拟化状态, •完成更新、应用更新并更改硬件虚拟化状态。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Reason |
重启原因 可能原因列表包含于预设面板 |
工作站已自动确认
参数 |
说明 |
|---|---|
发送通知的原因 |
新工作站申请连接Dr.Web服务器并得到Dr.Web服务器自动确认时发送。 |
高级设置 |
出现这种情况的条件是管理 → Dr.Web服务器配置 → 常规部分的新工作站注册模式设置为自动允许访问。 |
变量 |
无。 |
工作站已由管理员确认
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
新工作站申请连接Dr.Web服务器并得到管理员手动确认时发送。 |
|
高级设置 |
出现这种情况的条件是管理 → Dr.Web服务器配置 → 常规部分的新工作站注册模式设置为手动确认,而管理员为工作站选择了反病毒网络 → |
|
变量 |
MSG.AdminAddress |
管理中心网络地址 |
MSG.AdminName |
管理员姓名 |
|
允许所选工作站访问且指定基组应用更新必须重启工作站
参数 |
说明 |
|
|---|---|---|
发送通知的原因 |
从工作站接收到产品已安装或更新且必须重启工作站时发送此通知。 |
|
高级设置 |
不需指定。 |
|
变量 |
MSG.Product |
可更新产品 |
MSG.ServerTime |
Dr.Web服务器获得通知的本地时间 |
|