Просмотр событий и отчетов

В процессе работы приложения возникают различного рода события. Они могут иметь информационный характер или нести важную информацию. Например, с помощью события приложение может уведомлять об успешно выполненном обновлении баз приложения или может фиксировать ошибку в работе компонента, которую требуется устранить.

Kaspersky Embedded Systems Security позволяет вносить информацию о событиях, возникающих в работе приложения, в следующие журналы:

Журнал событий приложения. По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kess/private/storage/events.db. Вы можете настраивать параметры журнала событий приложения в командной строке.
Журнал операционной системы (syslog). По умолчанию журнал операционной системы не используется. Вы можете включить запись событий в этот журнал.

Для доступа к журналу событий приложения и к журналу операционной системы требуются root-права.

Если управление приложением Kaspersky Embedded Systems Security осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Для некоторых событий действуют правила агрегирования. В случае, если за короткий промежуток времени в процессе работы приложения создается много событий одного типа, приложение переключается в режим агрегирования событий и отправляет в Kaspersky Security Center одно агрегированное событие с описанием параметров этих событий. Для разных событий могут использоваться разные правила агрегирования. Подробнее о событиях см. в справке Kaspersky Security Center.

Вы можете получать информацию о событиях приложения следующими способами:

В Консоли администрирования и в Web Console.
В командной строке.
При использовании графического пользовательского интерфейса приложения – во всплывающих уведомлениях, если отображение уведомлений разрешено в свойствах политики или в общих параметрах приложения.

Некоторые события могут содержать пути к файлам. При выводе путь к файлу рассматривается как строка в кодировке UTF-8. В случае если какой-то из байт в пути не соответствует правилам кодирования UTF-8, то он заменяется на символ ?. Также на символ ? заменяется последовательность из четырех байт, кодирующая код символов, выходящих за пределы диапазона Unicode (больше 0x10FFFF). Специальные символы экранируются (заменяются) определенным образом.

Правила экранирования символов в путях к файлам в событиях при выводе по команде kess-control -E --query:

символы '\a', '\b', '\t', '\n', '\v', '\f', '\r' заменяются двумя символами следующим образом:
'\a' -> "\\a"

'\b' -> "\\b"

'\t' -> "\\t"

'\n' -> "\\n"

'\v' -> "\\v"

'\f' -> "\\f"

'\r' -> "\\r"
все прочие специальные символы выводятся без изменений.

Правила экранирования символов в путях к файлам в событиях при выводе по команде kess-control -E --query --json:

символы '\b', '\f', '\n', '\r', '\t', '"', '\\' экранируются, в соответствии с форматом JSON, следующим образом:
'\b' -> "\\b"

'\f' -> "\\f"

'\n' -> "\\n"

'\r' -> "\\r"

'\t' -> "\\t"

'"' -> "\\\""

'\\' -> "\\\\"
все прочие специальные символы экранируются в соответствии с общими правилами экранирования специальных символов для формата JSON ('\a' -> '\u0007').

Правила экранирования символов в путях к файлам в событиях при передаче в syslog:

символы '\b', '\f', '\n', '\r', '\t', '"', '\\' экранируются, в соответствии с форматом JSON, следующим образом:
'\b' -> "\\b"

'\f' -> "\\f"

'\n' -> "\\n"

'\r' -> "\\r"

'\t' -> "\\t"

'"' -> "\\\""

'\\' -> "\\\\"
все прочие специальные символы экранируются в соответствии с общими правилами экранирования специальных символов для формата JSON ('\a' -> '\u0007').

Первый обратный слеш в последовательности при описании правил – это символ экранирования.

Примеры:

'\a' – это один символ (управляющий);

'\\a' – это два символа (обратный слеш + символ а);

'\\' – это один символ (обратный слеш), '\\\\' – это два символа (обратный слеш + обратный слеш).

На основе событий, происходящих во время работы приложения, можно формировать различные отчеты. В отчеты записываются информация о работе каждого компонента приложения Kaspersky Embedded Systems Security и результаты выполнения каждой задачи и работы всего приложения в целом.

Вы можете просматривать отчеты следующими способами:

В Консоли администрирования и в Web Console доступны отчеты Kaspersky Security Center. С их помощью вы можете, например, получить сведения о зараженных файлах, использовании ключей и баз приложения. Подробную информацию о работе с отчетами Kaspersky Security Center см. в справке Kaspersky Security Center.
В графическом пользовательском интерфейсе Kaspersky Embedded Systems Security доступны отчеты приложения.

В событиях и отчетах могут содержаться следующие персональные данные:

имена и идентификаторы пользователей в операционной системе;
пути к файлам пользователя;
IP-адреса удаленных устройств, проверяемых компонентом Защита от шифрования;
IP-адреса отправителей и получателей сетевых пакетов, проверяемых компонентом Управление сетевым экраном;
веб-адреса источников обновлений;
значения общих параметров приложения;
имена и параметры задач командной строки;
обнаруженные вредоносные, фишинговые, рекламные веб-адреса и веб-адреса, содержащие легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройствам или данным;
названия и идентификаторы устройств;
веб-адреса репозиториев;
имена файлов, пути к файлам и хеш-суммы исполняемых файлов приложений;
названия категорий приложений.

В этом разделе справки

Настройка записи событий в журнал операционной системы

Настройка параметров журнала событий приложения

Просмотр событий в Kaspersky Security Center

Просмотр событий в командной строке

Настройка отображения уведомлений в графическом пользовательском интерфейсе

Идентификатор статьи: 264027, Последнее изменение: 17 мар. 2025 г.

В начало