События и отчетность
18 января 2022
ID 195337
События
Все действия программы Kaspersky Endpoint Security формируют события. Администратор программы может просматривать эти события с помощью системы запросов.
Kaspersky Endpoint Security уведомляет пользователей о новых событиях следующими способами:
- Если Kaspersky Endpoint Security находится под управлением Kaspersky Security Center, информация о событиях может передаваться на Сервер администрирования Kaspersky Security Center. Администратор Kaspersky Endpoint Security может настроить отправку уведомлений по электронной почте или выполнение скрипта при получении события от программы. Подробная информация об управлении отчетами в Kaspersky Security Center приведена в документации Kaspersky Security Center.
- Если включен графический пользовательский интерфейс (GUI), информацию о событиях можно просматривать в отчетах и во всплывающих окнах программы.
- С помощью локального запроса к хранилищу событий Kaspersky Endpoint Security. Администратор программы может разрабатывать скрипты на основе сформированных событий.
Получение информации обо всех событиях в хранилище:
kesl-control -E --query|less
По умолчанию в программе хранится до 500 000 событий. Вы можете использовать команду less для навигации по списку отображаемых событий.
Вы можете использовать систему запросов для просмотра определенных событий. При создании запроса укажите обязательное поле, выберите оператор сравнения и установите для него необходимое значение. Значение должно быть указано в одинарных кавычках (‘), а весь запрос должен быть указан в двойных кавычках (“):
--query "<поле> <оператор сравнения> '<значение>' [and <поле> <оператор сравнения> '<значение>' *]"
Пример события: Ниже приведен пример события
|
Примеры запросов: Получение всех событий по полю EventType:
Получение всех событий по полям
Получение всех событий, созданных задачей File_Monitoring после указанного времени:
Дата должна быть указана в системе временных меток UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 г.). |
Отчеты
Информация о работе каждого компонента программы Kaspersky Endpoint Security, о выполнении всех задач и о работе программы в целом фиксируется в отчетах.
Отчеты формируются по-разному в зависимости от параметров программы и использовании Kaspersky Security Center:
- Все отчеты хранятся в локальном хранилище событий программы. Хранилище событий находится в директории, заданной общим параметром программы
EventsStoragePath. По умолчанию файл базы данных, в которой Kaspersky Endpoint Security сохраняет информацию о событиях, находится в /var/opt/kaspersky/kesl/events.db. Для доступа к базе данных событий требуются root-права. - Если Kaspersky Endpoint Security находится под управлением Kaspersky Security Center, информация о событиях может передаваться на Сервер администрирования Kaspersky Security Center. Подробная информация об управлении отчетами в Kaspersky Security Center приведена в документации Kaspersky Security Center.
- Если для общего параметра программы указано значение
UseSysLog=Yes, информация о событиях также записывается в системный журнал. Для доступа к системному журналу могут потребоваться права root. - В графическом пользовательском интерфейсе окно Отчеты доступно для пользователей без root-прав, только если для общего параметра программы
UIReportsForRootOnlyвыбрано значениеNo. В противном случае окно Отчеты доступно только пользователям с root-правами.
Отчеты могут содержать следующие пользовательские данные:
- имя и идентификатор пользователя операционной системы;
- пути к пользовательским файлам;
- IP-адреса удаленных компьютеров, проверяемых задачей Защита от шифрования;
- IP-адреса отправителей и получателей сетевых пакетов, проверенных задачей Управление сетевым экраном;
- веб-адреса источников обновлений;
- общие параметры программы;
- названия и параметры задач.
