Просмотр событий
12 декабря 2023
ID 201952
Вы можете просматривать события следующими способами:
- В журнале событий приложения. Журнал событий расположен в директории, указанной общим параметром приложения
EventsStoragePath. По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kesl/private/storage/events.db. Для доступа к базе данных событий требуются root-права. - Если в общих параметрах приложения для параметра
UseSysLogуказано значениеYes, то данные о событиях также записываются в syslog. Для доступа к syslog требуются root-права. - Включить вывод текущих событий приложения с помощью команды
kesl-control -W. - Если управление приложением Kaspersky Endpoint Security осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Для некоторых событий действуют правила агрегирования. В случае, если за короткий промежуток времени в процессе работы приложения создается много событий одного типа, приложение переключается в режим агрегирования событий и отправляет в Kaspersky Security Center одно агрегированное событие с описанием параметров этих событий. Для разных событий могут использоваться разные правила агрегирования. Администратор может настроить выполнение скрипта при получении события из приложения или получение уведомлений о событиях по электронной почте. Подробную информацию о событиях см. в документации Kaspersky Security Center.
- Если включен графический пользовательский интерфейс (GUI), информация о событиях отображается в отчетах и во всплывающих окнах приложения.
Чтобы получить информацию обо всех событиях в журнале событий, выполните следующую команду:
kesl-control -E --query|less
По умолчанию в приложении хранится до 500 000 событий. С помощью утилиты less вы можете перемещаться по списку отображаемых событий.
Вы можете просматривать конкретные события с помощью системы запросов к хранилищу событий приложения.
При создании запроса требуется указать нужное поле, выбрать операцию сравнения и задать нужное значение. Значение требуется указывать в одинарных кавычках (‘), а запрос целиком – в двойных кавычках ("):
--query "<поле> <операция сравнения> '<значение>' [and <поле> <операция сравнения> '<значение>' *]"
Значение даты вы можете указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года) или в формате YYYY-MM-DD hh:mm:ss. Значение даты и времени указывается пользователем и отображается приложением по локальному времени пользователя.
Пример события ThreatDetected:
|
Примеры запросов: Вывести все события с заданным значением поля EventType:
Вывести все события с заданными значениями полей EventType и FileName:
Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в системе отметок времени UNIX™ (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):
Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в формате YYYY-MM-DD hh:mm:ss:
|
