Klassendateien
In der folgenden Tabelle sind die möglichen Abschnitte der Klasse Files aufgeführt.
Abschnitt
|
Werte
|
Hinweise
|
Class
|
Files
|
|
Id
|
4000 - 7999
|
|
level
|
0, 1, 2, 3, 4
|
|
time
|
*
|
|
user-name
|
Systemkontobenutzer
|
|
application
|
Pfad- und Anwendungsname
|
|
files
|
An der Operation beteiligte Datei oder Ordner
|
Siehe Hinweis 1, 2
|
dest_file
|
Zieldatei, wenn an der Operation Ursprungs- und Zieldatei beteiligt ist.
|
Dieser Abschnitt ist optional. Siehe Hinweis 1, 2
|
directives -c -d
|
files:create
|
Direktes Erstellen oder Verschieben der Datei in das Verzeichnis
|
|
files:read
|
Öffnen der Datei im Lesemodus
|
|
files:write
|
Öffnen der Datei im Schreibmodus
|
|
files:execute
|
Ausführen der Datei (Ausführen eines Verzeichnisses bedeutet, dass dieses Verzeichnis zum aktuellen Verzeichnis wird).
|
|
files:delete
|
Löschen der Datei aus einem Verzeichnis oder Verschieben in ein anderes Verzeichnis
|
|
files:rename
|
Umbenennen einer Datei im selben Verzeichnis, siehe Hinweis 2
|
|
files:attribute
|
Ändern der Dateiattribute. Überwachte Attribute sind „Schreibgeschützt“, „Verborgen“, „Archiv“ und „System“. Die für Windows 2000 spezifischen Attribute „Index“, „Komprimieren“ und „Verschlüsseln“ werden nicht überwacht.
|
Hinweis 1
Wenn der Abschnitt files verwendet wird, kann der Pfad zu einem überwachten Ordner entweder ein vollständiger Pfad oder ein Platzhalter sein. Bei den folgenden Beispielen handelt es sich um gültige Pfaddarstellungen:
files { Include "C:\\test\\abc.txt" }
files { Include "*\\test\\abc.txt" }
files { Include "*\\abc.txt" }
Wenn der Abschnitt dest_files verwendet wird, kann der absolute Pfad nicht verwendet werden, und ein Platzhalter muss am Beginn des Pfades vorhanden sein, um das Laufwerk darzustellen. Bei den folgenden Beispielen handelt es sich um gültige Pfaddarstellungen:
dest_file { Include "*\\test\\abc.txt" }
dest_file { Include "*\\abc.txt" }
Hinweis 2
Die Direktive files:rename hat eine andere Bedeutung, wenn sie mit Abschnitt files und Abschnitt dest_file kombiniert wird.
- In Kombination mit dem Abschnitt files bedeutet sie, dass die Umbenennung der Datei im Abschnitt files überwacht wird. Die folgende Regel überwacht z. B. das Umbenennen der Datei C:\test\abc.txt auf einen anderen Namen:
Rule {
Class Files
Id 4001
level 1
files { Include "C:\\test\\abc.txt" }
time { Include "*" }
application { Include "*" }
user_name { Include "*" }
directives -c -d files:rename
}
- In Kombination mit dem Abschnitt dest_files bedeutet sie, dass keine Datei in die Datei im Abschnitt dest_files umbenannt werden kann. Die folgende Regel überwacht z. B. das Umbenennen einer beliebigen Datei in C:\test\abc.txt:
Rule {
Class Files
Id 4001
level 1
dest_file { Include "*\\test\\abc.txt" }
time { Include "*" }
application { Include "*" }
user_name { Include "*" }
directives -c -d files:rename
}
|
Der Abschnitt files ist nicht obligatorisch, wenn der Abschnitt dest_file verwendet wird. Wenn der Abschnitt files verwendet wird, müssen die beiden Abschnitte files und dest_file nicht übereinstimmen.
|
Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.