Данные о событиях Журнала событий Windows

Данные о событиях Журнала событий Windows хранятся в файле %SystemRoot%\System32\Winevt\Logs\Kaspersky-Security-Soyuz%4Product.evtx в открытом незашифрованном виде. Данные хранятся до удаления Kaspersky Endpoint Agent.

Эти данные могут автоматически передаваться в Kaspersky Security Center.

По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к этой папке и ее файлам. Доступ определяет системный администратор.

Данные о событиях могут содержать следующую информацию:

• О пользовательских сессиях в операционной системе.
• Об учетных записях пользователей операционной системы (userID).
• Об ошибках выполнения задач проверки объектов.
• О задачах на проверку объектов.
• Об обнаружениях Kaspersky Sandbox.
• О событиях Kaspersky Sandbox.
• Об IOC-файлах Kaspersky Endpoint Agent, сформированных при автоматическом реагировании.
• О результатах проверки объектов.
• О сертификатах серверов Kaspersky Sandbox.
• Об очереди объектов на проверку.
• Об изменении параметров Kaspersky Endpoint Agent.
• Об изменении политик Kaspersky Security Center.
• Об изменении статуса задачи на проверку объектов.
• О политиках Kaspersky Security Center.
• Об объектах на карантине.
• О действиях по автоматическому реагированию на обнаруженные угрозы.
• Об ошибках взаимодействия с серверами программы.
• Об объектах, заблокированных по правилам Запрета запуска.
• О результатах выполнения задач Удалить файл.
• О результатах выполнения задач Завершить процесс.
• О результатах выполнения задач Выполнить программу.
• О результатах выполнения задач Получить файл.
• О действующей лицензии Kaspersky Endpoint Detection and Response Optimum.
• О статусе активации программы.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.