O4. 其它

自动更新授权密钥

授权密钥到期时调用。

数据库

参数

返回值

可使用

•event——事件类型：

▫expire——授权密钥即将到期，无法使用自动更新

▫diff——已加载新的授权密钥，但当前密钥与新密钥授权组件不同。需手动替换授权密钥

▫renew——授权密钥已自动更新

•old_key——原授权密钥内容

•new_key——新授权密钥内容。可以访问，如事件类型diff或renew

忽略

钩子文本：

--[[

Called:

when license key expire or have been renewed

Database:

available

Parameters:

event event type: "expire" - license key expires or have done it

"diff" - received new key, but components differs from current one

"renew" - current key have been renewed, old one was deleted

old_key content of old license key

new_key content of renew license key, available at event type "diff" or "renew"

Returned value:

ignored

]]

local args = ... -- args.event, args.old_key, args.new_key

发现病毒流行

发现网内病毒流行时调用。

数据库

参数

返回值

可使用

•virus——最常见的威胁，

•total——侦测到的威胁总数

忽略

钩子文本：

--[[

Called:

when virus epidemic has been detected by the server

Database:

available

Parameters:

total total count of viruses

virus most frequently detected virus name

Returned value:

ignored

]]

local args = ... -- args.total, args.virus

应用程序监控报告

获得来自工作站的应用程序监控报告时调用。

数据库

参数

返回值

可使用

•id——工作站ID，

•address——工作站网络地址，

•station——工作站名称，

•time——事件发送的时间（工作站时间），

•sid——工作站SID，

•user——启动可疑进程的用户，

•type——事件类型，

•action——所采取的操作，

•policy_type——已使用策略的类型，

•policy_mask——已使用策略的掩码，

•test_mode——为测试模式下出现的事件，

•profile_id——阻止依据的模式的UUID，

•profile_name——阻止依据的模式的名称，

•rule_id——阻止依据的规则的UUID（如有），

•rule_name——阻止依据的规则的名称（如有），

•process_path——被阻止进程的路径，

•process_file_sha256——进程文件的SHA-256，

•process_file_version——进程文件的版本，

•process_file_description——进程文件的描述，

•process_file_origname——进程文件的原名，

•process_file_prodname——进程文件的产品名称，

•process_file_prodver——进程文件的产品版本，

•process_file_company ——进程文件的公司名称，

•process_cert_thumbprint——进程签名所用证书的指纹(SHA-1)（如有），

•process_cert_serial——进程签名所用证书的序列号（如有），

•process_cert_issuer——进程签名所用证书的厂商（如有），

•process_cert_subject——进程签名所用证书的主体（如有），

•process_cert_timestamp——进程签名所用证书的颁布时间（如有），

•process_cert_not_before——进程签名所用证书的有效期起始时间（如有），

•process_cert_not_after——进程签名所用证书的有效期到期时间（如有），

•process_hashdb——含有进程哈希值的公报，

•object_path——被阻止脚本的路径或值为空，

•object_file_sha256——脚本文件的SHA-256（如有），

•object_file_version——脚本文件的版本（如有），

•object_file_description——脚本文件的描述（如有），

•object_file_origname——脚本文件的原名（如有），

•object_file_prodname ——脚本文件的产品名称（如有），

•object_file_prodver——脚本文件的产品版本（如有），

•object_file_company ——脚本文件的公司名称（如有），

•object_cert_thumbprint——脚本签名所用证书的指纹(SHA-1)（如有），

•object_cert_serial——脚本签名所用证书的序列号（如有），

•object_cert_issuer——脚本签名所用证书的厂商（如有），

•object_cert_subject——脚本签名所用证书的主体（如有），

•object_cert_timestamp——脚本签名所用证书的颁布时间（如有），

•object_cert_not_before——脚本签名所用证书的有效期起始时间（如有），

•object_cert_not_after——脚本签名所用证书的有效期到期时间（如有），

•object_hashdb——含有脚本哈希值的公报

忽略

钩子文本：

--[[

Called:

when application control event received from Agent

Database:

available

Parameters:

id station ID

address station address

station station name

time station time

sid SID of user initiated activity

user name of user initiated activity

type event type

action applied action

policy_type matched policy type

policy_mask matched policy mask

test_mode event occured in test mode

profile_id profile UUID used for activity blocking

profile_name profile name used for activity blocking

rule_id rule UUID used for activity blocking (if exist)

rule_name rule name used for activity blocking (if exist)

process_path path to affected process file

process_file_sha256 process file SHA-256

process_file_version process file version

process_file_description process file description

process_file_origname process file original name

process_file_prodname process file product name

process_file_prodver process file product version

process_file_company process file company name

process_cert_thumbprint process file signing certificate thumbprint (SHA-1) (if exist)

process_cert_serial process file signing certificate serial number (if exist)

process_cert_issuer process file signing certificate issuer (if exist)

process_cert_subject process file signing certificate subject (if exist)

process_cert_timestamp process file signing certificate sign issuance timestamp (if exist)

process_cert_not_before process file signing certificate NotBefore timestamp (if exist)

process_cert_not_after process file signing certificate NotAfter timestamp (if exist)

process_hashdb hash database containing process file

object_path path to affected object file (script, etc) or empty

object_file_sha256 object file SHA-256 (if exist)

object_file_version object file version (if exist)

object_file_description object file description (if exist)

object_file_origname object file original name (if exist)

object_file_prodname object file product name (if exist)

object_file_prodver object file product version (if exist)

object_file_company object file company name (if exist)

object_cert_thumbprint object file signing certificate thumbprint (SHA-1) (if exist)

object_cert_serial object file signing certificate serial number (if exist)

object_cert_issuer object file signing certificate issuer (if exist)

object_cert_subject object file signing certificate subject (if exist)

object_cert_timestamp object file signing certificate sign issuance timestamp (if exist)

object_cert_not_before object file signing certificate NotBefore timestamp (if exist)

object_cert_not_after object file signing certificate NotAfter timestamp (if exist)

object_hashdb hash database containing object file

Returned value:

ignored

]]

local args = ...

来自邻居服务器的应用程序监控报告

获得来自Dr.Web邻居服务器的工作站应用程序监控报告时调用。

数据库

参数

返回值

可使用

•neighborid——从其收到事件的Dr.Web邻居服务器的ID，

•neighborname——Dr.Web邻居服务器名称，

•originatorid——作为事件源的Dr.Web服务器的ID，

•originatorname——作为事件源的Dr.Web服务器的名称，

•stationid——工作站ID，

•stationname——工作站名称，

•eventid——事件ID，

•event_time——工作站出现事件的时间，

•sid——工作站SID，

•user——启动可疑进程的用户，

•type——事件类型，

•action——所采取的操作，

•policy_type——已使用策略的类型，

•policy_mask——已使用策略的掩码，

•test_mode——为测试模式下出现的事件，

•profile_id——阻止依据的模式的UUID，

•profile_name——阻止依据的模式的名称，

•rule_id——阻止依据的规则的UUID（如有），

•rule_name——阻止依据的规则的名称（如有），

•process_path——被阻止进程的路径，

•process_file_sha256——进程文件的SHA-256，

•process_file_version——进程文件的版本，

•process_file_description——进程文件的描述，

•process_file_origname——进程文件的原名，

•process_file_prodname——进程文件的产品名称，

•process_file_prodver——进程文件的产品版本，

•process_file_company ——进程文件的公司名称，

•process_cert_thumbprint——进程签名所用证书的指纹(SHA-1)（如有），

•process_cert_serial——进程签名所用证书的序列号（如有），

•process_cert_issuer——进程签名所用证书的厂商（如有），

•process_cert_subject——进程签名所用证书的主体（如有），

•process_cert_timestamp——进程签名所用证书的颁布时间（如有），

•process_cert_not_before——进程签名所用证书的有效期起始时间（如有），

•process_cert_not_after——进程签名所用证书的有效期到期时间（如有），

•process_hashdb——含有进程哈希值的公报，

•object_path——被阻止脚本的路径或值为空，

•object_file_sha256——脚本文件的SHA-256（如有），

•object_file_version——脚本文件的版本（如有），

•object_file_description——脚本文件的描述（如有），

•object_file_origname——脚本文件的原名（如有），

•object_file_prodname ——脚本文件的产品名称（如有），

•object_file_prodver——脚本文件的产品版本（如有），

•object_file_company ——脚本文件的公司名称（如有），

•object_cert_thumbprint——脚本签名所用证书的指纹(SHA-1)（如有），

•object_cert_serial——脚本签名所用证书的序列号（如有），

•object_cert_issuer——脚本签名所用证书的厂商（如有），

•object_cert_subject——脚本签名所用证书的主体（如有），

•object_cert_timestamp——脚本签名所用证书的颁布时间（如有），

•object_cert_not_before——脚本签名所用证书的有效期起始时间（如有），

•object_cert_not_after——脚本签名所用证书的有效期到期时间（如有），

•object_hashdb——含有脚本哈希值的公报

忽略

钩子文本：

--[[

Called:

when application control event received from neighbor server

Database:

available

Parameters:

neighborid neighbor server ID which the event received from

neighborname neighbor server name

originatorid ID of the event server originator

originatorname name of the event server originator

stationid station ID

stationname station name

eventid event ID

event_time station time

recv_time server originator time

sid SID of user initiated activity

user name of user initiated activity

type event type

action applied action

policy_type matched policy type

policy_mask matched policy mask

test_mode event occured in test mode

profile_id profile UUID used for activity blocking

profile_name profile name used for activity blocking

rule_id rule UUID used for activity blocking (if exist)

rule_name rule name used for activity blocking (if exist)

process_path path to affected process file

process_file_sha256 process file SHA-256

process_file_version process file version

process_file_description process file description

process_file_origname process file original name

process_file_prodname process file product name

process_file_prodver process file product version

process_file_company process file company name

process_cert_thumbprint process file signing certificate thumbprint (SHA-1) (if exist)

process_cert_serial process file signing certificate serial number (if exist)

process_cert_issuer process file signing certificate issuer (if exist)

process_cert_subject process file signing certificate subject (if exist)

process_cert_timestamp process file signing certificate sign issuance timestamp (if exist)

process_cert_not_before process file signing certificate NotBefore timestamp (if exist)

process_cert_not_after process file signing certificate NotAfter timestamp (if exist)

process_hashdb hash database containing process file

object_path path to affected object file (script, etc) or empty

object_file_sha256 object file SHA-256 (if exist)

object_file_version object file version (if exist)

object_file_description object file description (if exist)

object_file_origname object file original name (if exist)

object_file_prodname object file product name (if exist)

object_file_prodver object file product version (if exist)

object_file_company object file company name (if exist)

object_cert_thumbprint object file signing certificate thumbprint (SHA-1) (if exist)

object_cert_serial object file signing certificate serial number (if exist)

object_cert_issuer object file signing certificate issuer (if exist)

object_cert_subject object file signing certificate subject (if exist)

object_cert_timestamp object file signing certificate sign issuance timestamp (if exist)

object_cert_not_before object file signing certificate NotBefore timestamp (if exist)

object_cert_not_after object file signing certificate NotAfter timestamp (if exist)

object_hashdb hash database containing object file

Returned value:

ignored

]]

local args = ...

Dr.Web代理服务器已创建

结束创建Dr.Web代理服务器时调用。

数据库

参数

返回值

可使用

•login——管理员注册名，

•id——Dr.Web代理服务器ID，

•name——Dr.Web代理服务器名称，

•state——操作完成状态：

▫0——成功创建，

▫1——操作执行出错（数据库错误），

▫2——等待操作超时（数据库超负荷），

▫4——Dr.Web代理服务器已存在

忽略

钩子文本：

--[[

Called:

when proxy create completed

Database:

available

Parameters:

id proxy ID

name proxy name

state operation completion state:

0 created successfully

1 operation failed (database error)

2 operation timed out (database overloaded)

4 already exists

Returned value:

ignored

]]

local args = ... -- args.login, args.id, args.name, args.state

Dr.Web代理服务器已删除

删除Dr.Web代理服务器时调用。

数据库

参数

返回值

可使用

•login——管理员注册名，

•id——Dr.Web代理服务器ID，

•name——Dr.Web代理服务器名称，

忽略

钩子文本：

--[[

Called:

when proxy deleted

Database:

available

Parameters:

id proxy id

name proxy name

Returned value:

ignored

]]

local args = ... -- args.login, args.id, args.name