Протоколы (обычный профиль) : Белый список протоколов : Параметры правил белого списка : Если правило срабатывает
  
Если правило срабатывает
Параметр Если правило срабатывает применяется ко всем протоколам.
Этот параметр задает следующие дополнительные операции, которые будут выполняться при срабатывании правила:
Отправить алерт - Оповещение рассылается при каждом срабатывании правила.
DeviceLock рассылает оповещения с учетом настроек оповещений. В этих настройках задается адресат и способ отправки оповещений. Перед включением оповещений для правила белого списка задайте параметры оповещений в настройках сервиса DeviceLock (см. раздел Алерты).
Протоколировать событие - Событие регистрируется в журнале аудита при каждом срабатывании правила.
Теневое копирование - Теневая копия данных создается при каждом срабатывании правила.
При включении или отключении алертов, аудита и/или теневого копирования в правиле белого списка настройка правила имеет приоритет над соответствующей настройкой для протокола.
Пример: Если аудит включен для некоторого протокола и отключен в правиле для этого протокола, срабатывание такого правила не вызовет события аудита. Если же аудит в правиле включен, то срабатывание правила вызовет событие аудита, даже если аудит отключен на уровне протокола.
Правило может наследовать настройку алертов, аудита и/или теневого копирования, заданную для протокола. Эта опция выбрана по умолчанию и представлена неопределенным состоянием соответствующих флажков (не установленных и не очищенных). Состояние каждого флажка можно изменить независимо от других.
Пример: Если правило наследует настройку аудита, заданную для протокола, то срабатывание такого правила вызовет событие аудита только если аудит включен для протокола, контролируемого этим правилом.
Просмотрщик журнала аудита отображает следующую информацию о событиях, вызваных срабатыванием правила белого списка:
Тип - Успех
Дата/Время - Дата и время создания соединения в следующем формате: дд.мм.гггг чч:мм:сс. Пример: 05.06.2012 14:54:46
Источник - Тип протокола.
Действие - Тип пользовательского действия: Входящее соединение либо Исходящее соединение
Имя - Пустое поле.
Информация - IP-адрес, номер порта и полное доменное имя (FQDN) удаленного узла. Пример: Удаленный хост: 192.168.100.10:99 (computer.group.domain.com)
Причина - Причина возникновения события: Белый список: “<имя_правила>”
Пользователь - Имя пользователя, связанного с данным событием, в следующем формате: <имя_домена>\<имя_пользователя>.
PID - Идентификатор процесса приложения, связанного с событием. Пример: 4420
Процесс - Полный путь к исполняемому файлу процесса. Пример: C:\Program Files\AppFolder\AppName.exe