Данные о событиях Журнала событий Windows
28 ноября 2023
ID 192460
Данные о событиях Журнала событий Windows хранятся в файле %SystemRoot%\System32\Winevt\Logs\Kaspersky-Security-Soyuz%4Product.evtx в открытом незашифрованном виде. Данные хранятся до удаления Kaspersky Endpoint Agent.
Эти данные могут автоматически передаваться в Kaspersky Security Center.
По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к этой папке и ее файлам. Доступ определяет системный администратор.
Данные о событиях могут содержать следующую информацию:
- О пользовательских сессиях в операционной системе.
- Об учетных записях пользователей операционной системы (userID).
- Об ошибках выполнения задач проверки объектов.
- О задачах на проверку объектов.
- Об обнаружениях Kaspersky Sandbox.
- О событиях Kaspersky Sandbox.
- Об IOC-файлах Kaspersky Endpoint Agent, сформированных при автоматическом реагировании.
- О результатах проверки объектов.
- О сертификатах серверов Kaspersky Sandbox.
- Об очереди объектов на проверку.
- Об изменении параметров Kaspersky Endpoint Agent.
- Об изменении политик Kaspersky Security Center.
- Об изменении статуса задачи на проверку объектов.
- О политиках Kaspersky Security Center.
- Об объектах на карантине.
- О действиях по автоматическому реагированию на обнаруженные угрозы.
- Об ошибках взаимодействия с серверами программы.
- Об объектах, заблокированных по правилам Запрета запуска.
- О результатах выполнения задач Удалить файл.
- О результатах выполнения задач Завершить процесс.
- О результатах выполнения задач Выполнить программу.
- О результатах выполнения задач Получить файл.
- О действующей лицензии Kaspersky Endpoint Detection and Response Optimum.
- О статусе активации программы.
Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.