通用规则设置代码

技术支持

企业产品

Kaspersky Secure Mail Gateway

附录

审核事件记录中的规则设置代码

通用规则设置代码

2024年12月12日

ID 287293

如果在事件日志设置中启用了审核事件和修改设置的日志记录，则当“规则→邮件处理规则 → 相关规则 →常规”部分的常规设置被编辑时，有关更改的详细信息将记录在审核日志事件中。

下表显示了规则的常规设置在审核日志记录中的编码方式。

常规 → 规则信息

“常规→规则信息”选项卡上，审核事件记录中的常用规则设置代码

“常规→规则信息”选项卡上的规则设置	审核事件记录中的代码	示例
状态	`scanSettings.active` 可能的值： `true`，如果切换开关为开。 `false`，如果切换开关为关。	创建的规则： `scanSettings.active[][true]` `name[][New rule]` `scanSettings.ruleDescription[][Test description]` `scanSettings.ruleAction[][Scan]` priority[][2] `修改的规则：` `scanSettings.active[true][false]` `name[New rule][Some name]` `scanSettings.ruleDescription[Test description][New description]` `scanSettings.ruleAction[Scan][Skip]` `priority[2][3]` 删除的规则： `scanSettings.active[false][]` `name[Some name][]` `scanSettings.ruleDescription[New description][]` `scanSettings.ruleAction[Skip][]` `priority[3][]`
规则名称	`name`
描述	`scanSettings.ruleDescription`
模式	`scanSettings.ruleAction` 可能的值： `Scan`，如果选择了“使用扫描模块的设置”操作。 `Skip`，如果选择了“不扫描即跳过”操作。 `Reject`，如果选择了“不扫描即拒绝”操作。 `Delete`，如果选择了“删除而不通知发件人”操作。
优先级	`priority` 可能的值：对应于规则列表中规则的优先级的数字。例如，如果只有四条规则，并且规则的优先级为之前，相较于规则优先级 4、该审核事件中的 `priority` 值为 `3`。改变一条规则的优先级会改变所有其他规则的优先级。审核事件仅记录管理员更改优先级的规则的优先级变化。

“常规→发件人和收件人”选项卡上，审核事件记录中的常用规则设置代码

“常规→发件人和收件人”选项卡上的规则设置

审核事件记录中的代码

示例

发件人 → 将规则应用于发件人地址

belongingCriteria.
senderSource

可能的值：

Envelope，如果选择了“来自 SMTP 会话 (MAIL FROM 命令值)”。
Header，如果选择了“来自邮件 (MIME 标头 From 值)”。
Both，如果选择了“来自两个来源”。

创建的规则：

belongingCriteria.senderSource[][Envelope]

修改的规则：

belongingCriteria.senderSource[Envelope][Header]

删除的规则：

belongingCriteria.senderSource[Header][]

发件人 → 电子邮件

添加或删除电子邮件地址由记录对表示：一个表示记录类型，值为 EMailMask，另一个表示值，其中包含添加或删除的行。记录对如下所示：

belongingCriteria.sender{N}.
EMailMask

belongingCriteria.sender{N}.
<value>

如果修改了电子邮件地址，则该修改将由以下形式的单个记录表示：

belongingCriteria.sender{N}.
<value>

其中 N 是该对在对列表中的序列号。

如果某个对的序列号发生变化，则该对的修改将由以下形式的单个记录表示：

belongingCriteria.sender{N}.
<serial number>

创建的规则：

belongingCriteria.sender{0}.type[][EMailMask]

belongingCriteria.sender{0}.value[][test%2A]

belongingCriteria.sender{1}.type[][EMailMask]

belongingCriteria.sender{1}.value[][mail1@test.com]

belongingCriteria.sender{2}.type[][EMailMask]

belongingCriteria.sender{2}.value[][mail2@test.com]

修改的规则：

belongingCriteria.sender{2}.type[][EMailMask]

belongingCriteria.sender{2}.value[][mail3@test.com]

belongingCriteria.sender{1}.type[EMailMask][]

belongingCriteria.sender{1}.value[mail1@test.com][]

belongingCriteria.sender{2}.value[mail2@test.com][test_mail2@test.com]

belongingCriteria.sender{2}.Index[2][1]

删除的规则：

belongingCriteria.sender{0}.type[EMailMask][]

belongingCriteria.sender{0}.value[test%2A][]

belongingCriteria.sender{1}.type[EMailMask][]

belongingCriteria.sender{1}.value[test_mail2@test.com][]

belongingCriteria.sender{2}.type[EMailMask][]

belongingCriteria.sender{2}.value[mail3@test.com][]

发件人 → IP

添加或删除电子邮件地址由记录对表示：一个表示记录类型，值为 CIDR，另一个表示值，其中包含添加或删除的行。记录对如下所示：

belongingCriteria.sender{N}.
CIDR

belongingCriteria.sender{N}.
<value>

如果 IP 地址被修改，则该修改由以下形式的单个记录表示：

belongingCriteria.sender{N}.
<value>

其中 N 是该对在对列表中的序列号。

如果某个对的序列号发生变化，则该对的修改将由以下形式的单个记录表示：

belongingCriteria.sender{N}.
<serial number>

创建的规则：

belongingCriteria.sender{0}.Index[][0]

belongingCriteria.sender{0}.type[][CIDR]

belongingCriteria.sender{0}.value[][128.168.0.0]

belongingCriteria.sender{1}.Index[][1]

belongingCriteria.sender{1}.type[][CIDR]

belongingCriteria.sender{1}.value[][0.0.0.0]

修改的规则：

belongingCriteria.sender{1}.value[0.0.0.0][0.0.0.1]

删除的规则：

belongingCriteria.sender{0}.Index[0][]

belongingCriteria.sender{0}.type[CIDR][]

belongingCriteria.sender{0}.value[128.168.0.0][]

belongingCriteria.sender{1}.Index[1][]

belongingCriteria.sender{1}.type[CIDR][]

belongingCriteria.sender{1}.value[0.0.0.1][]

发件人 → LDAP: DN

添加或删除电子邮件地址由记录对表示：一个表示记录类型，值为 ExternalAccount，另一个表示值，其中包含添加或删除的行。记录对如下所示：

belongingCriteria.sender{N}.
ExternalAccount

belongingCriteria.sender{N}.
<value>

如果修改了 LDAP:DN，则该修改将由以下形式的单个记录表示：

belongingCriteria.sender{N}.
<value>

其中 N 是该对在对列表中的序列号。

如果某个对的序列号发生变化，则该对的修改将由以下形式的单个记录表示：

belongingCriteria.sender{N}.
<serial number>

创建的规则：

belongingCriteria.sender{0}.Index[][0]

belongingCriteria.sender{0}.type[][ExternalAccount]

belongingCriteria.sender{0}.value[][test value]

修改的规则：

belongingCriteria.sender{0}.value[test value][test value #1]

删除的规则：

belongingCriteria.sender{0}.Index[0][]

belongingCriteria.sender{0}.type[ExternalAccount][]

belongingCriteria.sender{0}.value[test value #1][]

收件人 → 电子邮件

添加或删除电子邮件地址由记录对表示：一个表示记录类型，值为 EMailMask，另一个表示值，其中包含添加或删除的行。记录对如下所示：

belongingCriteria.recipient{N}.
EMailMask

belongingCriteria.recipient{N}.
<value>

如果修改了电子邮件地址，则该修改将由以下形式的单个记录表示：

belongingCriteria.recipient{N}.
<value>

其中 N 是该对在对列表中的序列号。

如果某个对的序列号发生变化，则该对的修改将由以下形式的单个记录表示：

belongingCriteria.recipient{N}.
<serial number>

创建的规则：

belongingCriteria.recipient{0}.type[][EMailMask]

belongingCriteria.recipient{0}.value[][test%2A]

belongingCriteria.recipient{1}.type[][EMailMask]

belongingCriteria.recipient{1}.value[][mail1@test.com]

belongingCriteria.recipient{2}.type[][EMailMask]

belongingCriteria.recipient{2}.value[][mail2@test.com]

修改的规则：

belongingCriteria.recipient{2}.type[][EMailMask]

belongingCriteria.recipient{2}.value[][mail3@test.com]

belongingCriteria.recipient{1}.type[EMailMask][]

belongingCriteria.recipient{1}.value[mail1@test.com][]

belongingCriteria.recipient{2}.value[mail2@test.com][test_mail2@test.com]

belongingCriteria.recipient{2}.Index[2][1]

删除的规则：

belongingCriteria.recipient{0}.type[EMailMask][]

belongingCriteria.recipient{0}.value[test%2A][]

belongingCriteria.recipient{1}.type[EMailMask][]

belongingCriteria.recipient{1}.value[test_mail2@test.com][]

belongingCriteria.recipient{2}.type[EMailMask][]

belongingCriteria.recipient{2}.value[mail3@test.com][]

收件人 → LDAP: DN

添加或删除电子邮件地址由记录对表示：一个表示记录类型，值为 ExternalAccount，另一个表示值，其中包含添加或删除的行。记录对如下所示：

belongingCriteria.recipient{N}.
ExternalAccount

belongingCriteria.recipient{N}.
<value>

如果修改了 LDAP:DN，则该修改将由以下形式的单个记录表示：

belongingCriteria.recipient{N}.
<value>

其中 N 是该对在对列表中的序列号。

如果某个对的序列号发生变化，则该对的修改将由以下形式的单个记录表示：

belongingCriteria.recipient{N}.
<serial number>

创建的规则：

belongingCriteria.recipient{0}.Index[][0]

belongingCriteria.recipient{0}.type[][ExternalAccount]

belongingCriteria.recipient{0}.value[][test value]

修改的规则：

belongingCriteria.recipient{0}.value[test value][test value #1]

删除的规则：

belongingCriteria.recipient{0}.Index[0][]

belongingCriteria.recipient{0}.type[ExternalAccount][]

belongingCriteria.recipient{0}.value[test value #1][]

“常规→宏”选项卡上，审核事件记录中的常用规则设置代码

“常规→宏”选项卡上的规则设置	审核事件记录中的代码	示例
处理包含宏的附件	`scanSettings.avScanSettings.` `engineSettings.` `detectDocWithMacro` 可能的值： `true`，如果切换开关为开。 `false`，如果切换开关为关。	创建的规则： `scanSettings.avScanSettings.engineSettings.` `detectDocWithMacro[][false]` `scanSettings.avScanSettings.docWithMacroAction` `[][Skip]` `scanSettings.avScanSettings.backupDocWithMacro` `[][true]` `scanSettings.avScanSettings.docWithMacroMark` `[][%5BMacro%5D]` 修改的规则： `scanSettings.avScanSettings.engineSettings.` `detectDocWithMacro[false][true]` `scanSettings.avScanSettings.docWithMacroAction` `[Skip][DeleteAttachment]` `scanSettings.avScanSettings.backupDocWithMacro` `[true][false]` `scanSettings.avScanSettings.docWithMacroMark` `[%5BMacro%5D][%5BDocument with macro%5D]` 删除的规则： `scanSettings.avScanSettings.engineSettings.` `detectDocWithMacro[true][]` `scanSettings.avScanSettings.docWithMacroAction` `[DeleteAttachment][]` `scanSettings.avScanSettings.backupDocWithMacro` `[false][]` `scanSettings.avScanSettings.docWithMacroMark` `[%5BDocument with macro%5D][]`
操作	`scanSettings.avScanSettings.` `docWithMacroAction` 可能的值： `Skip`，如果选择了“跳过”操作。 `DeleteAttachment`，如果选择了“删除附件”操作。 `Reject`，如果选择了“拒绝”操作。 `DeleteMessage`，如果选择了“删除邮件”操作。
将原始邮件放入备份	`scanSettings.avScanSettings.` `backupDocWithMacro` 可能的值： `true`，如果切换开关为开。 `false`，如果切换开关为关。
要添加到邮件主题的文本	`scanSettings.avScanSettings.` `docWithMacroMark`

“常规→排除项”选项卡上，审核事件记录中的常用规则设置代码

“常规→排除项”选项卡上的规则设置

审核事件记录中的代码

示例

不扫描压缩文件

scanSettings.avScanSettings.
engineSettings.scanArchived

可能的值：

true，如果切换开关为开。
false，如果切换开关为关。

创建的规则：

scanSettings.avScanSettings.engineSettings.scanArchived
[][true]

scanSettings.avScanSettings.engineSettings.excludedNames.
Added[%2Adoc, %2Apdf]

修改的规则：

scanSettings.avScanSettings.engineSettings.scanArchived
[true][false]

scanSettings.avScanSettings.engineSettings.excludedNames.
Added[%2Axls]

scanSettings.avScanSettings.engineSettings.excludedNames.
Removed[%2Adoc]

删除的规则：

scanSettings.avScanSettings.engineSettings.scanArchived
[false][]

scanSettings.avScanSettings.engineSettings.excludedNames.
Removed[%2Axls %2Apdf]

不扫描以下名称掩码的附件

scanSettings.avScanSettings.
engineSettings.excludedNames

Kaspersky Endpoint Security for Business Advanced: Adaptive security of your company

Web and device controls. Data encryption. Centralized and convenient management from a single console.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

您觉得这篇文章有帮助吗？

我们可以做什么更好？

感谢您的反馈！你正在帮助我们进步。