Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства пользователя

Руководство по Log Scanner

Примеры сценариев использования

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Примеры сценариев использования

11 апреля 2024

ID 171645

В этом разделе приведены примеры использования Log Scanner в некоторых ситуациях.

Проверка нескольких файлов журналов

Все файлы журналов, передаваемые на проверку, должны быть в кодировке UTF-8. Если файлы журналов имеют другую кодировку, их необходимо преобразовать в UTF-8.

Если есть потоки данных об угрозах, которые еще не были скомпилированы, и каталог, содержащий файлы журнала, можно проверить файлы журнала по следующей процедуре.

Чтобы проверить несколько файлов журналов, выполните следующие действия:

  1. В конфигурационном файле kl_feed_service.conf укажите используемые потоки данных об угрозах, правила нормализации для обработки событий в файлах журналов и регулярные выражения для парсинга событий.
  2. Запустите Kaspersky CyberTrace Service:

    systemctl start cybertrace.service (в Linux)

    sc start cybertrace (в Windows)

  3. Запустите утилиту Log Scanner и укажите каталог, в котором находятся файлы журналов. Например:

    ./log_scanner -r –p ../logs (в Linux)

    log_scanner.exe -r –p ..\logs (в Windows)

  4. Остановите Kaspersky CyberTrace Service следующей командой:

    systemctl stop cybertrace.service (в Linux)

    sc stop cybertrace (в Windows)

После завершения работы Log Scanner каталог, указанный в элементе OutputDir конфигурационного файла log_scanner.conf, будет содержать отчет об URL и хешах, обнаруженных Kaspersky CyberTrace Service.

Проверка нескольких URL и хешей

Если требуется проверить несколько URL и хешей, выполните действия в следующем порядке.

Чтобы проверить несколько URL и хешей, выполните следующие действия:

  1. Запустите Kaspersky CyberTrace Service следующей командой:

    systemctl start cybertrace.service (в Linux)

    sc start cybertrace (в Windows)

  2. Запустите Log Scanner и укажите хеши для проверки. Например:

    ./log_scanner -r -s A72C5B99F2706B00718279C9533A3648 -s 6AA0321FA9D82D652AB53882D7CF9E592B4439B8 (в Linux)

    log_scanner.exe -r -s A72C5B99F2706B00718279C9533A3648 -s 6AA0321FA9D82D652AB53882D7CF9E592B4439B8 (в Windows)

  3. Запустите Log Scanner и укажите URL для проверки. Например:

    ./log_scanner -r –u test.mav.example.com?bad_url=1 -u test.phishing.example.com/psh/test?p=1&p=2 (в Linux)

    log_scanner.exe -r –u test.mav.example.com?bad_url=1 -u test.phishing.example.com/psh/test?p=1&p=2 (в Windows)

  4. Остановите Kaspersky CyberTrace Service следующей командой:

    systemctl stop cybertrace.service (в Linux)

    sc stop cybertrace (в Windows)

После завершения работы Log Scanner каталог, указанный в элементе OutputDir конфигурационного файла log_scanner.conf, будет содержать отчет об URL, обнаруженных Kaspersky CyberTrace Service, и отчет об обнаруженных хешах.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!