关于文件操作监控规则

“文件完整性监控”任务根据文件操作监控规则运行。可以使用规则触发条件来配置触发任务的条件，以及调整任务日志中记录的已删除文件操作事件的重要性级别。

针对每个监控范围指定了文件操作监控规则。

可以配置以下规则触发条件：

• 受信任用户
• 文件操作标记

受信任用户

默认情况下，应用程序将所有操作视为潜在安全入侵。受信任用户列表为空。可以通过在文件操作监控规则设置中创建受信任用户列表来配置事件重要性级别。

不受信任用户是分配给监控范围规则设置中的受信任用户列表中未指定的任何用户的状态。如果 Kaspersky Embedded Systems Security 检测到不受信任用户执行的文件操作，则“文件完整性监控”任务将在任务日志中记录一个严重事件。

受信任用户是分配给经过授权可在指定的监控范围内执行文件操作的用户或用户组的状态。如果 Kaspersky Embedded Systems Security 检测到受信任用户执行的文件操作，则“文件完整性监控”任务将在任务日志中记录一个“信息事件”。

Kaspersky Embedded Systems Security 在监控中断期间无法确定发起操作的用户。在此情况下，用户状态被确定为未知。

未知用户是在由于任务中断或者数据同步驱动程序或 USN 日志失败导致 Kaspersky Embedded Systems Security 无法获取有关用户的数据时分配给用户的状态。如果 Kaspersky Embedded Systems Security 检测到未知用户执行的文件操作，则“文件完整性监控”任务将在任务日志中记录一个“警告事件”。

文件操作标记

当“文件完整性监控”任务运行时，Kaspersky Embedded Systems Security 使用文件操作标记来确定已对文件执行了操作。

文件操作标记是可以对文件操作进行特征化的独特描述符。

每个文件操作可以是针对文件进行的单个操作或系列操作。每个此类操作等同于一个文件操作标记。如果您指定作为规则触发条件的标记在文件操作链中被删除，则应用程序将记录一个事件，表示已执行指定的文件操作。

已记录事件的重要性级别不取决于选定的文件操作标记或事件的数量。

默认情况下，Kaspersky Embedded Systems Security 考虑所有可用的文件操作标记。可以在任务规则设置中手动选择文件操作标记。

文件操作标记