Kaspersky Security Center 14 Windows
14
Русский

Содержание

Экспорт событий напрямую из базы данных

Вы можете извлекать события напрямую из базы данных Kaspersky Security Center, не используя интерфейс Kaspersky Security Center. Можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях или создавать собственные представления на базе существующих публичных представлений и обращаться к ним для получения требуемых данных.

Публичные представления

Для вашего удобства в базе данных Kaspersky Security Center предусмотрен набор публичных представлений. Описание публичных представлений приведено в документе klakdb.chm.

Публичное представление v_akpub_ev_event содержит набор полей, соответствующих параметрам событий в базе данных. В документе klakdb.chm также содержится информация о публичных представлениях, относящихся к другим объектам Kaspersky Security Center, например, устройствам, программам, пользователям. Вы можете использовать эту информацию при создании запросов.

В этом разделе приведены инструкции по выполнению SQL-запроса с помощью утилиты klsql2, а также пример такого запроса.

Вы также можете использовать любые другие программы для работы с базами данных для создания SQL-запросов и представлений баз данных. Информация о том, как посмотреть параметры подключения к базе данных Kaspersky Security Center, например, имя инстанса и имя базы данных, приведена в соответствующем разделе.

В этом разделе

Выполнение SQL-запроса с помощью утилиты klsql2

Пример SQL-запроса, созданного с помощью утилиты klsql2

Просмотр имени базы данных Kaspersky Security Center

См. также:

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151344]

Выполнение SQL-запроса с помощью утилиты klsql2

В этой статье приведены инструкции по использованию утилиты klsql2, а также по выполнению SQL-запроса с использованием этой утилиты. При выполнении SQL-запроса с помощью утилиты klsql2 нет необходимости в явном виде указывать имя и параметры доступа для базы данных, поскольку запрос обращается напрямую к публичным представлениям Kaspersky Security Center.

Чтобы использовать утилиту klsql2:

  1. Найдите утилиту klsql2 в папке установки Kaspersky Security Center. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center. Не используйте версии утилиты klsql2, предназначенные для старых версий Kaspersky Security Center.
  2. Создайте файл src.sql в любом текстовом редакторе и поместите файл в одну папку с утилитой.
  3. В файле src.sql введите требуемый SQL-запрос и сохраните файл.
  4. На устройстве, на котором установлен Сервер администрирования Kaspersky Security Center, в командной строке введите следующую команду для выполнения SQL-запроса из файла src.sql и сохранения результатов в файл result.xml:

    klsql2 -i src.sql -o result.xml

  5. Откройте созданный файл result.xml и посмотрите результаты выполнения SQL-запроса.

Вы можете редактировать файл src.sql и создавать в нем любые SQL-запросы к публичным представлениям. Затем с помощью команды в командной строке можно запустить запрос и сохранить результаты в файл.

См. также

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151343]

Пример SQL-запроса, созданного с помощью утилиты klsql2

В этом разделе приведен пример SQL-запроса, выполненного с помощью утилиты klsql2.

Следующий пример показывает, как получить список событий, произошедших на устройствах пользователей за последние 7 дней, и отсортировать его по времени возникновения событий, самые недавние события отображаются первыми.

Пример:

SELECT

e.nId, /* идентификатор события */

e.tmRiseTime, /* время возникновения события */

e.strEventType, /* внутреннее имя типа события */

e.wstrEventTypeDisplayName, /* отображаемое имя события */

e.wstrDescription, /* отображаемое описание события */

e.wstrGroupName, /* имя группы устройств */

h.wstrDisplayName, /* отображаемое имя устройства, на котором произошло событие */

CAST(((h.nIp / 16777216) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 65536) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 256) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp) & 255) AS varchar(4)) as strIp /* IP-адрес устройства, на котором произошло событие */

FROM v_akpub_ev_event e

INNER JOIN v_akpub_host h ON h.nId=e.nHostId

WHERE e.tmRiseTime>=DATEADD(Day, -7, GETUTCDATE())

ORDER BY e.tmRiseTime DESC

См. также:

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151338]

Просмотр имени базы данных Kaspersky Security Center

Развернуть все | Свернуть все

Может быть полезно знать имя базы данных, если вам нужно, например, отправить SQL-запрос и подключиться к базе данных из редактора скриптов SQL.

Чтобы просмотреть имя базы данных Kaspersky Security Center:

  1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
  2. В окне свойств Сервера администрирования выберите раздел Дополнительно, а затем Информация об используемой базе данных.
  3. В разделе Информация об используемой базе данных обратите внимание на следующие свойства базы данных (см. рис. ниже):
    • Имя экземпляра

      Имя экземпляра используемой базы данных Kaspersky Security Center. Значение по умолчанию – .\KAV_CS_ADMIN_KIT.

    • Имя базы данных

      Имя базы данных SQL Kaspersky Security Center. По умолчанию указано значение KAV.

    Раздел содержит Имя экземпляра, Имя базы данных и размер файла, Размер данных и количество событий в базе данных.

    Раздел с информацией об используемой базе данных Сервера администрирования

  4. Нажмите на кнопку ОК, чтобы закрыть окно свойств Сервера администрирования.

Используйте это имя базы данных для подключения и обращения к базе данных в ваших SQL-запросах.

См. также:

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151339]