Просмотр событий и отчетов

В процессе работы приложения возникают различного рода события. Они могут иметь информационный характер или нести важную информацию. Например, с помощью события приложение может уведомлять об успешно выполненном обновлении баз приложения или может фиксировать ошибку в работе компонента, которую требуется устранить.

Приложение Kaspersky позволяет вносить информацию о событиях, возникающих в работе приложения, в следующие журналы:

• Журнал событий приложения.

  По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kfl/private/storage/events.db. Вы можете настраивать параметры журнала событий приложения в командной строке.

• Журнал операционной системы (syslog).

  По умолчанию журнал операционной системы не используется. Вы можете включить запись событий в этот журнал.

Для доступа к журналу событий приложения требуются root-права.

Вы можете получать информацию о событиях приложения следующими способами:

• В командной строке.
• Если вы используете интерфейс приложения Kaspersky – во всплывающих окнах приложения, из которых вы можете по ссылке Открыть отчеты переходить к отчетам о работе компонентов приложения и результатах выполнения задач проверки.

Некоторые события могут содержать пути к файлам. При выводе путь к файлу рассматривается как строка в кодировке UTF-8. В случае если какой-то из байт в пути не соответствует правилам кодирования UTF-8, то он заменяется на символ ?. Также на символ ? заменяется последовательность из четырех байт, кодирующая код символов, выходящих за пределы диапазона Unicode (больше 0x10FFFF). Специальные символы экранируются (заменяются) определенным образом.

Правила экранирования символов в путях к файлам в событиях при выводе по команде kfl-control -E --query:

• символы '\a', '\b', '\t', '\n', '\v', '\f', '\r' заменяются двумя символами следующим образом:

  '\a' -> "\\a"

  '\b' -> "\\b"

  '\t' -> "\\t"

  '\n' -> "\\n"

  '\v' -> "\\v"

  '\f' -> "\\f"

  '\r' -> "\\r"

• все прочие специальные символы выводятся без изменений.

Правила экранирования символов в путях к файлам в событиях при выводе по команде kfl-control -E --query --json:

• символы '\b', '\f', '\n', '\r', '\t', '"', '\\' экранируются, в соответствии с форматом JSON, следующим образом:

  '\b' -> "\\b"

  '\f' -> "\\f"

  '\n' -> "\\n"

  '\r' -> "\\r"

  '\t' -> "\\t"

  '"' -> "\\\""

  '\\' -> "\\\\"

• все прочие специальные символы экранируются в соответствии с общими правилами экранирования специальных символов для формата JSON ('\a' -> '\u0007').

Правила экранирования символов в путях к файлам в событиях при передаче в syslog:

• символы '\b', '\f', '\n', '\r', '\t', '"', '\\' экранируются, в соответствии с форматом JSON, следующим образом:

  '\b' -> "\\b"

  '\f' -> "\\f"

  '\n' -> "\\n"

  '\r' -> "\\r"

  '\t' -> "\\t"

  '"' -> "\\\""

  '\\' -> "\\\\"

• все прочие специальные символы экранируются в соответствии с общими правилами экранирования специальных символов для формата JSON ('\a' -> '\u0007').

Первый обратный слеш в последовательности при описании правил – это символ экранирования.

На основе событий, происходящих во время работы приложения, можно формировать различные отчеты. В отчеты записываются информация о работе каждого компонента приложения Kaspersky и результаты выполнения каждой задачи и работы всего приложения в целом.

Вы можете просматривать отчеты в интерфейсе приложения Kaspersky.

В событиях и отчетах могут содержаться следующие персональные данные:

• имена и идентификаторы пользователей в операционной системе;
• пути к файлам пользователя;
• веб-адреса источников обновлений;
• обнаруженные вредоносные, фишинговые, рекламные веб-адреса и веб-адреса, содержащие легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройствам или данным;
• названия и идентификаторы устройств;
• веб-адреса репозиториев;
• имена файлов, пути к файлам и хеш-суммы исполняемых файлов приложений;
• названия категорий приложений.

Кроме того, в событиях и отчетах могут содержаться:

• значения общих параметров приложения;
• имена и параметры задач командной строки.

Как настроить запись событий в журнал операционной системы

По умолчанию события, возникающие в работе приложения Kaspersky, не записываются в журнал операционной системы. Вы можете включить запись событий в этот журнал с помощью командной строки.

В командной строке вы можете включать и выключать запись событий в журнал операционной системы с помощью параметра UseSyslog из общих параметров приложения.

Вы можете изменять значение параметра с помощью ключей командной строки или с помощью конфигурационного файла, который содержит все общие параметры приложения.

Параметр UseSyslog может принимать следующие значения:

• Yes – включить запись событий в syslog.
• No (значение по умолчанию) – выключить запись событий в syslog.

Как настроить параметры журнала событий приложения

По умолчанию информация о событиях сохраняется в журнале событий приложения, расположенном на устройстве. В командной строке вы можете настраивать следующие параметры журнала событий приложения с помощью общих параметров приложения:

• Изменять путь к базе данных журнала событий приложения с помощью параметра EventsStoragePath. Значение по умолчанию: /var/opt/kaspersky/kfl/private/storage/events.db.
• Задавать максимальное количество событий, которые будет хранить приложение с помощью параметра MaxEventsNumber. Значение по умолчанию: 500000. При превышении заданного количества событий приложение удаляет наиболее давние события.

Вы можете изменять значение параметров с помощью ключей командной строки или с помощью конфигурационного файла, который содержит все общие параметры приложения.

Как просмотреть события в командной строке

С помощью командной строки вы можете просматривать:

• текущие события приложения;
• события из журнала событий приложения.

Вывод текущих событий

Вы можете выводить в консоль информацию обо всех текущих событиях приложения или о текущих событиях, связанных с запуском или остановкой указанной задачи. С помощью фильтра вы так же можете выводить определенные текущие события, например, события указанного типа.

Чтобы вывести в консоль информацию обо всех текущих событиях приложения, выполните следующую команду:

kfl-control -W

Команда возвращает название события и дополнительную информацию о событии.

Чтобы вывести в консоль информацию только о текущих событиях, связанных с запущенной задачей, выполните следующую команду:

kfl-control --start-task <идентификатор/имя задачи> -W

Чтобы вывести в консоль информацию о текущих событиях, соответствующих условиям фильтра, выполните следующую команду:

kfl-control -W --query "<условия фильтра>"

Условия фильтра задаются с помощью одного или нескольких логических выражений в формате <поле> <операция сравнения> '<значение>', скомбинированных с помощью логического оператора and.

Вывод событий из журнала событий

Вы можете выводить в консоль или в файл информацию о событиях из журнала событий приложения. Вы можете использовать фильтр для вывода определенных событий.

Чтобы вывести в консоль информацию обо всех событиях в журнале событий приложения, выполните следующую команду:

kfl-control -E --query [--db <файл базы данных>]

где:

• <файл базы данных> – полный путь к файлу базы данных журнала событий, из которого вы хотите вывести события. По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kfl/private/storage/events.db. Расположение базы данных определяется общим параметром приложения EventsStoragePath.

Вы можете использовать утилиту less, чтобы перемещаться по списку отображаемых событий. По умолчанию в приложении хранится до 500 000 событий. Максимальное количество событий, которые хранит приложение, определяется общим параметром приложения MaxEventsNumber.

Если журнал событий расположен в базе данных по умолчанию, вы можете выводить в консоль информацию обо всех событиях с помощью команды:

kfl-control -E

Чтобы вывести в консоль информацию о событиях в журнале событий приложения, соответствующих определенным условиям, выполните следующую команду:

kfl-control -E --query "<условия фильтра>" [--db <файл базы данных>] [-n <количество>] [--json] [--reverse]

где:

• <условия фильтра> – одно или несколько логических выражений в формате <поле> <операция сравнения> '<значение>', скомбинированных с помощью логического оператора and, для ограничения результатов запроса.
• <количество> – количество последних событий из выборки (то есть количество записей от конца выборки), которые нужно вывести.
• --json – выводить события в формате JSON.
• --reverse – выводить события в обратном порядке (от самого нового события наверху к более старым внизу).

Чтобы вывести в файл информацию о событиях в журнале событий приложения, соответствующих определенным условиям, выполните следующую команду:

kfl-control -E --query "<условия фильтра>" [--db <файл базы данных>] [-n <количество>] --file <путь к файлу> [--json]

где --file <путь к файлу> – полный путь к файлу, в который вы хотите вывести события.

Как просмотреть отчеты и события в интерфейсе приложения

С помощью интерфейса приложения вы можете просматривать отчеты приложения. В отчеты записывается информация о работе компонентов и задач приложения.

Данные в отчетах представлены в виде таблицы, которая содержит список событий. Каждая строка в таблице содержит информацию об отдельном событии. Атрибуты события отображаются в столбцах таблицы. События, зарегистрированные в работе разных компонентов и задач, имеют разный набор атрибутов.

В отчетах предусмотрены следующие уровни важности событий:

• Критический – события критической важности, на которые нужно обратить внимание, поскольку они указывают на проблемы в работе приложения или на уязвимости в защите устройства.
• Высокий.
• Средний.
• Низкий.
• Информационный.
• Ошибка.

Отчеты отображаются в окне, которое открывается по кнопке Отчеты, расположенной в нижней части главного окна приложения.

Также вы можете переходить к отчетам о работе компонентов приложения и результатах выполнения задач проверки по ссылке Открыть отчеты во всплывающих уведомлениях о статусе выполнения проверки и обнаруженных угрозах.

В приложении доступны следующие отчеты:

• Статистика. Этот отчет содержит статистические данные о работе компонента Защита от файловых угроз и о задачах проверки. Вы можете обновить отображаемый отчет, нажав на кнопку Обновить.
• Системный аудит. Этот отчет содержит информацию о событиях, которые произошли во время работы приложения и во время взаимодействия пользователя с приложением.
• Защита от угроз. Этот отчет содержит информацию о событиях, зарегистрированных в журнале во время работы следующих компонентов приложения:
  • Защита от веб-угроз.
  • Проверка съемных дисков.
  • Анализ поведения.
  • Защита от файловых угроз.
• Задачи по требованию. Этот отчет содержит информацию о событиях, зарегистрированных в журнале во время выполнения задач проверки и задач обновления.

Чтобы просмотреть отчет:

1. Откройте главное окно приложения.
2. В нижней части главного окна приложения нажмите на кнопку Отчеты.

   Откроется окно Отчеты.

3. В левой части окна Отчеты выберите нужный тип отчета.

   В правой части окна отобразится отчет, содержащий список событий.

   По умолчанию события в отчете отсортированы по возрастанию значений столбца Дата.

4. Если вы хотите посмотреть подробную информацию о событии, выберите это событие в отчете.

   В нижней части окна отобразится блок, который содержит атрибуты этого события.

Для удобства работы с отчетами вы можете изменять представление данных на экране следующими способами:

• фильтровать список событий по времени возникновения;
• использовать функцию поиска определенного события;
• просматривать выбранное событие в отдельном блоке.