События Kaspersky Security в Kaspersky Security Center

В этом разделе собрана информация о событиях в работе программы, которые записываются в журнал событий Сервера администрирования Kaspersky Security Center.

Kaspersky Security Center также позволяет экспортировать события Kaspersky Security в SIEM-системы по протоколу Syslog.

Для получения подробных сведений о работе с событиями и политиками программы с помощью Сервера администрирования Kaspersky Security Center см. Руководство администратора Kaspersky Security Center.

События Kaspersky Security, связанные со срабатываниями, в журнале событий Kaspersky Security Center

Событие

Уровень важности события

Описание

Включен режим ограниченной проверки

Критическое событие

Событие записывается, если компонент программы перешел в режим ограниченной проверки. В записи о событии указывается название компонента и время его перехода в режим ограниченной проверки.

Обнаружен зараженный, поврежденный или защищенный паролем объект

Информационное сообщение

Событие записывается, если в узле Уведомления установлен флажок Вести запись следующих событий в журнал событий Windows в соответствующей событию теме уведомления и обнаружен зараженный, поврежденный или защищенный объект.

Обнаружен файл вложения, параметры которого соответствуют условиям фильтрации вложений

Информационное сообщение

Событие записывается, если в узле Уведомления установлен флажок Вести запись следующих событий в журнал событий Windows в соответствующей событию теме уведомления и обнаружен зараженный файл во вложении, который соответствует критериям фильтрации вложений.

Обнаружено исходящее сообщение, являющееся спамом или содержащее фишинговую ссылку

Информационное сообщение

Событие записывается, если программа обнаружила исходящее сообщение электронной почты, содержащее спам или фишинг. В записи о событии содержатся сведения о сообщении.

Ошибка в работе компонента программы

Критическое событие

Событие записывается, если программа зафиксировала ошибки в работе компонента. В записи о событии указывается название компонента и описание ошибки.

По умолчанию события, связанные со срабатываниями, хранятся в журнале событий Kaspersky Security Center 30 дней. Вы можете изменить этот параметр в консоли Kaspersky Security Center.

События Kaspersky Security, связанные с базой Антивируса и базой Анти-Спама, в журнале событий Kaspersky Security Center

Событие

Уровень важности события

Описание

Антивирусные базы обновлены

Информационное сообщение

Событие записывается, если антивирусные базы программы были обновлены до последней версии. В записи о событии указывается дата выпуска баз.

Антивирусные базы устарели

Критическое событие

Событие записывается, если антивирусные базы программы устарели более чем на сутки.

Базы Анти-Спама устарели

Предупреждение

Событие записывается, если базы Анти-Спама устарели более чем на 5 часов.

Ошибка обновления антивирусных баз устранена. Антивирусные базы успешно обновлены

Информационное сообщение

Событие записывается, если устранена ошибка обновления антивирусных баз программы, и базы обновлены успешно. В записи о событии указывается тип баз и дата выпуска баз.

Ошибка обновления баз

Критическое событие

Событие записывается, если базы программы не удалось обновить. В записи о событии указывается тип баз и описание ошибки.

Базы Анти-Спама обновлены

Информационное сообщение

Событие записывается, если базы Анти-Спама обновлены до последней версии. В записи о событии указывается тип баз и дата выпуска баз.

Ошибка обновления баз Анти-Спама устранена. Базы Анти-Спама успешно обновлены

Информационное сообщение

Событие записывается, если в программе устранена ошибка обновления баз Анти-Спама, и базы успешно обновлены. В записи о событии указывается тип баз и дата выпуска баз.

По умолчанию события, связанные с базой данных программы, хранятся в журнале событий Kaspersky Security Center 30 дней. Вы можете изменить этот параметр в консоли Kaspersky Security Center.

События Kaspersky Security, связанные с доступом программы к SQL-серверу, в журнале событий Kaspersky Security Center

Событие

Уровень важности события

Описание

Ошибка соединения с SQL-сервером

Критическое событие

Событие записывается, если программа зафиксировала ошибку на SQL-сервере. В записи о событии указывается имя базы данных, имя SQL-сервера и описание ошибки.

Соединение с SQL-сервером восстановлено

Информационное сообщение

Событие записывается, если доступ к базе данных на SQL-сервере восстановлен.

По умолчанию события, связанные с базой данных программы, хранятся в журнале событий Kaspersky Security Center 30 дней. Вы можете изменить этот параметр в консоли Kaspersky Security Center.

События Kaspersky Security, связанные с лицензированием программы, в журнале событий Kaspersky Security Center

Событие

Уровень важности события

Описание

Выполнено действие с ключом Сервера безопасности

Информационное сообщение

Событие записывается, если статус ключа, дата окончания срока действия лицензии, количество пользователей или тип лицензии изменились. В записи о событии указывается ключ, тип лицензии, дата окончания срока действия лицензии и количество пользователей лицензии.

Пользователь выполнил действие с ключом Сервера безопасности

Информационное сообщение

Событие записывается, если пользователь выполнил действия с ключом Сервера безопасности. В записи о событии указывается учетная запись пользователя.

Активный ключ не обнаружен

Критическое событие

Событие записывается, если в узле Уведомления установлен флажок Вести запись событий в журнал событий Windows и Kaspersky Security Center в соответствующей событию теме уведомления и активный ключ не обнаружен.

Срок действия лицензии истек

Критическое событие

Событие записывается, если в узле Уведомления установлен флажок Вести запись событий в журнал событий Windows и Kaspersky Security Center в соответствующей событию теме уведомления и настроен параметр Уведомить заранее об истечении срока действия лицензии (дни) и основная лицензия истекла. В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до окончания этого срока.

Срок действия лицензии скоро истекает

Предупреждение

Событие записывается, если в узле Уведомления установлен флажок Вести запись событий в журнал событий Windows и Kaspersky Security Center в соответствующей событию теме уведомления и основная лицензия скоро истечет. В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до окончания этого срока.

Статус лицензии давно не обновлялся

Предупреждение

Событие записывается, если установлен флажок Вести запись событий в журнал событий Windows и Kaspersky Security Center в узле Уведомления и программе не удалось обновить статус лицензии. В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до перехода в режим ограниченной функциональности.

Произошла ошибка при обновлении статуса лицензии

Критическое событие

Событие записывается, если установлен флажок Вести запись событий в журнал событий Windows и Kaspersky Security Center в узле Уведомления, программе не удалось обновить статус лицензии и срок обновления лицензии истек. В записи о событии указывается описание причины возникновения ошибки.

По умолчанию события, связанные с лицензированием программы, хранятся в журнале событий Kaspersky Security Center 30 дней. Вы можете изменить этот параметр в консоли Kaspersky Security Center.

События Kaspersky Security, связанные с Модулем DLP, в журнале событий Kaspersky Security Center

Событие

Уровень важности события

Описание

Обновлены категории "Лаборатории Касперского"

Информационное сообщение

Событие записывается, если во время обновления баз программы были обновлены категории "Лаборатории Касперского". В записи о событии указываются названия обновленных категорий и краткие описания категорий.

Пользователь попытался отправить инцидент на свой адрес электронной почты

Предупреждение

Событие записывается, если специалист по информационной безопасности запросил отправку сведений об инциденте на свой адрес электронной почты.

Пользователь попытался создать архив инцидентов

Предупреждение

Событие записывается, если специалист по информационной безопасности попытался создать архив инцидентов.

Создан новый инцидент по результатам работы Модуля DLP

Предупреждение

Событие записывается, если обнаружено сообщение электронной почты, нарушающее политику безопасности и создан новый инцидент по результатам работы Модуля DLP.

Пользователь попытался сохранить на диске объект, прикрепленный к инциденту

Предупреждение

Событие записывается, если специалист по информационной безопасности запросил сохранение на диске объекта, приложенного к инциденту.

По умолчанию события, связанные с модулем DLP, не хранятся в журнале событий Kaspersky Security Center. Вы можете изменить этот параметр в консоли Kaspersky Security Center.

События Kaspersky Security, связанные с мониторингом и аудитом, в журнале событий Kaspersky Security Center

Событие

Уровень важности события

Описание

Антивирус для роли Транспортный концентратор включен

Информационное сообщение

Событие записывается, если программа зафиксировала включение компонента Антивирус для роли Транспортный концентратор.

Антивирус для роли Транспортный концентратор выключен

Предупреждение

Событие записывается, если программа зафиксировала выключение компонента Антивирус для роли Транспортный концентратор.

Антивирус для роли Почтовый ящик включен

Информационное сообщение

Событие записывается, если программа зафиксировала включение компонента Антивирус для роли Почтовый ящик.

Антивирус для роли Почтовый ящик выключен

Предупреждение

Событие записывается, если программа зафиксировала выключение компонента Антивирус для роли Почтовый ящик.

Анти-Спам включен

Информационное сообщение

Событие записывается, если программа зафиксировала включение компонента Анти-Спам.

Анти-Спам выключен

Предупреждение

Событие записывается, если программа зафиксировала выключение компонента Анти-Спам.

Задача фоновой проверки остановлена

Информационное сообщение

Событие записывается, если фоновая проверка была остановлена. В записи о событии указывается причина остановки проверки.

Запущена задача фоновой проверки

Информационное сообщение

Событие записывается, если фоновая проверка была запущена вручную или автоматически по расписанию. В записи о событии указывается тип запуска.

Модуль DLP включен

Информационное сообщение

Событие записывается, если программа зафиксировала включение Модуля DLP.

Модуль DLP выключен

Предупреждение

Событие записывается, если программа зафиксировала выключение Модуля DLP.

Пользователь изменил параметры программы

Информационное сообщение

Событие записывается, если пользователь изменил параметры программы. В записи о событии указывается учетная запись пользователя, изменившего параметры, подробная информация об изменении параметра программы.

Пользователь попытался запустить фоновую проверку

Информационное сообщение

Событие записывается, если пользователь запросил запуск задачи проверки по требованию. В записи о событии указывается учетная запись пользователя.

Пользователь попытался остановить фоновую проверку

Информационное сообщение

Событие записывается, если пользователь попытался остановить задачу фоновой проверки. В записи о событии указывается учетная запись пользователя и причина остановки задачи.

Фильтрация вложений включена

Информационное сообщение

Событие записывается, если программа зафиксировала включение компонента Фильтрация вложений.

Фильтрация вложений выключена

Предупреждение

Событие записывается, если программа зафиксировала выключение компонента Фильтрация вложений.

По умолчанию события, связанные с мониторингом и аудитом, хранятся в журнале событий Kaspersky Security Center 30 дней. Вы можете изменить этот параметр в консоли Kaspersky Security Center.

События Kaspersky Security, связанные с резервным хранилищем, в журнале событий Kaspersky Security Center

Событие

Уровень важности события

Описание

Пользователь отправил объект из резервного хранилища на адрес (адреса) электронной почты

Информационное сообщение

Событие записывается, если пользователь попытался отправить адресатам возможно зараженный объект из резервного хранилища. В записи о событии указывается подробная информация об объекте и учетная запись пользователя.

Пользователь отправил объект из резервного хранилища на исследование в "Лабораторию Касперского"

Информационное сообщение

Событие записывается, если пользователь отправил возможно зараженный объект из резервного хранилища на исследование в "Лабораторию Касперского". В записи о событии указывается подробная информация об объекте и учетная запись пользователя.

Пользователь отправил сообщение, определенное как спам, на исследование в "Лабораторию Касперского"

Информационное сообщение

Событие записывается, если пользователь попытался отправить объект, ложно идентифицированный программой как спам, из резервного хранилища на исследование в "Лабораторию Касперского". В записи о событии указывается подробная информация об объекте и учетная запись пользователя.

Пользователь попытался сохранить на диске объект из резервного хранилища

Информационное сообщение

Событие записывается, если пользователь запросил сохранение на диск объекта из резервного хранилища. В записи о событии указывается подробная информация об объекте и учетная запись пользователя.

Пользователь удалил объект из резервного хранилища

Информационное сообщение

Событие записывается, если удален объект из резервного хранилища. В записи о событии указывается подробная информация об объекте и учетная запись пользователя, если объект был удален пользователем. Программа удаляет объект в соответствии с настройками параметров резервного хранилища.

По умолчанию события, связанные с резервным хранилищем, не хранятся в журнале событий Kaspersky Security Center. Вы можете изменить этот параметр в консоли Kaspersky Security Center.

В начало