Приложение 6. События приложения
Информация о работе каждого компонента Kaspersky Endpoint Security, о событиях шифрования данных, о выполнении каждой задачи проверки, задачи обновления и задачи проверки целостности, а также о работе приложения в целом сохраняется в журнале событий Kaspersky Security Center и журнале событий Windows.
Kaspersky Endpoint Security формирует события следующих типов: общие и специфические события. Специфические события создает только приложение Kaspersky Endpoint Security для Windows. Специфические события имеют простой идентификатор, например, 000000cb
. Специфические события содержат следующие обязательные параметры:
GNRL_EA_DESCRIPTION
– содержание события.GNRL_EA_ID
– служебный идентификатор события.GNRL_EA_SEVERITY
– статус события.1
– Информационное сообщение ,2
– Предупреждение ,3
– Отказ функционирования ,4
– Критическое .EVENT_TYPE_DISPLAY_NAME
– заголовок события.TASK_DISPLAY_NAME
– название компонента приложения, который инициировал событие.
Общие события, кроме Kaspersky Endpoint Security для Windows, могут создавать и другие приложения "Лаборатории Касперского" (например, Kaspersky Security для Windows Server). Общие события имеют более сложный идентификатор, например, GNRL_EV_VIRUS_FOUND
. Общие события кроме обязательных параметров содержат еще дополнительные параметры.
Критические события
Нарушено Лицензионное соглашение
Срок действия лицензии почти истек
Базы повреждены или отсутствуют
Автозапуск приложения выключен
Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения
Недостаточно места в хранилище карантина
Объект не восстановлен из карантина
Приложение установило соединение с сайтом с недоверенным сертификатом
Возникла ошибка проверки зашифрованного соединения. Домен добавлен в список исключений
Обнаружен вредоносный объект (локальные базы)
Обнаружен вредоносный объект (KSN)
Обнаружена ранее открытая опасная ссылка
Действие процесса заблокировано
Запрещенный процесс был запущен до старта Kaspersky Endpoint Security для Windows
Доступ запрещен (локальные базы)
Операция с устройством запрещена
Сетевое соединение заблокировано
Ошибка копирования обновлений компонента
Невозможен запуск двух задач одновременно
Ошибка проверки баз и модулей приложения
Ошибка взаимодействия с Kaspersky Security Center
Обновление завершено успешно, а копирование обновлений завершено с ошибкой
Ошибка применения правил шифрования / расшифровки файлов
Ошибка шифрования / расшифровки файла
Ошибка активации портативного режима
Ошибка деактивации портативного режима
Ошибка создания зашифрованного архива
Ошибка шифрования / расшифровки устройства
Не удалось загрузить модуль шифрования
Задача управления учетными записями Агента аутентификации завершилась ошибкой
Политика не может быть применена
Обновление функциональности шифрования завершено с ошибкой
Сервер Kaspersky Anti Targeted Attack Platform недоступен
Объект не помещен на карантин (Kaspersky Sandbox)
Сертификат сервера Kaspersky Sandbox недействителен
Узел Kaspersky Sandbox не доступен
Обработка объекта в Kaspersky Sandbox завершилась с ошибкой
Превышена допустимая нагрузка на Kaspersky Sandbox
Возникла ошибка при проверке лицензии Kaspersky Sandbox
Объект не помещен на карантин (Endpoint Detection and Response)
Запуск процесса не заблокирован
Выполнение скрипта не заблокировано
Ошибка изменения состава компонентов приложения
Обнаружена возможная попытка взлома пароля с помощью подбора
Обнаружены признаки компрометации журналов Windows
Обнаружена подозрительная активность со стороны новой установленной службы
Обнаружена подозрительная аутентификация с явным указанием учетных данных
Обнаружены признаки атаки Kerberos forged PAC (MS14-068)
Обнаружены подозрительные изменения привилегированной группы Администраторы
Обнаружена подозрительная активность во время сетевого сеанса входа
Сработало правило Анализа журналов
Подозрительное событие повторяется слишком часто. Запущено формирование агрегированных событий
Отчет о подозрительном событии за период агрегации
Отказ функционирования
Ошибка в настройках задачи. Настройки задачи не применены
Предупреждение
Обнаружено некорректное завершение предыдущей сессии работы приложения
Срок действия лицензии скоро истекает
Автоматическое обновление выключено
Самозащита приложения выключена
Компьютер работает в безопасном режиме
Для завершения обновления необходимо перезапустить приложение
Необходима перезагрузка компьютера
Установлены не все компоненты приложения, которые позволяет использовать лицензия
Запущена процедура лечения активного заражения
Процедура лечения активного заражения завершена
Невозможно восстановить объект из резервного хранилища
Обнаружена подозрительная сетевая активность
Защищенное соединение разорвано
Обработка приложением некоторых функций ОС выключена.
В хранилище карантина скоро закончится место
Сетевое соединение заблокировано
Невозможно создать резервную копию объекта
Объект будет вылечен при перезагрузке
Объект будет удален при перезагрузке
Объект удален в соответствии с настройками
Результат проверки объекта передан стороннему приложению
Настройки задачи успешно применены
Предупреждение о нежелательном содержимом (локальные базы)
Предупреждение о нежелательном содержимом (KSN)
Осуществлен доступ к нежелательному содержимому после предупреждения
Активирован временный доступ к устройству
Операция отменена пользователем
Пользователь отказался от политики шифрования
Прервано применение правил шифрования / расшифровки файлов
Операция шифрования / расшифровки файла прервана
Приостановка шифрования / расшифровки устройства
Неуспешная проверка подписи модуля
Запуск приложения был заблокирован
Открытие документа было заблокировано
Процесс завершен администратором сервера Kaspersky Anti Targeted Attack Platform
Работа приложения завершена администратором сервера Kaspersky Anti Targeted Attack Platform
Файл или стрим удален администратором сервера Kaspersky Anti Targeted Attack Platform
Файл восстановлен из карантина сервера Kaspersky Anti Targeted Attack Platform администратором
Файл помещен на карантин сервера Kaspersky Anti Targeted Attack Platform администратором
Сетевая активность приложений сторонних производителей заблокирована
Сетевая активность приложений сторонних производителей разблокирована
Объект будет удален после перезагрузки (Kaspersky Sandbox)
Суммарный размер задач проверки превысил максимальное значение
Запуск объекта разрешен, событие записано в отчет
Запуск процесса разрешен, событие записано в отчет
Объект будет удален после перезагрузки (Endpoint Detection and Response)
Для завершения задачи требуется перезагрузка
Сообщение администратору о запрете запуска приложения
Сообщение администратору о запрете доступа к устройству
Сообщение администратору о запрете доступа к веб-странице
Подключение устройства заблокировано
Сообщение администратору о запрете действия приложения
Объект изменяется слишком часто. Запущено формирование агрегированных событий
Отчет об изменениях объекта за период агрегации
Область мониторинга содержит некорректные объекты
Информационное сообщение
Самозащита ограничила доступ к защищаемому ресурсу
Групповая политика деактивирована
Все компоненты приложения, которые допускает лицензия, установлены и работают в нормальном режиме
Параметры подписки были изменены
Объект восстановлен из резервного хранилища
Ввод имени пользователя и пароля
Объект восстановлен из карантина
Создана резервная копия объекта
Объект перезаписан вылеченной ранее копией
Обнаружен защищенный паролем архив
Информация об обнаруженном объекте
Объект находится в списке разрешенных в Локальном KSN
Ссылка находится в списке разрешенных в Локальном KSN
Приложение помещено в группу доверенных приложений
Приложение помещено в группу с ограничениями
Сработал компонент Предотвращение вторжений
Значение реестра восстановлено
Запуск приложения запрещен в тестовом режиме
Запуск приложения разрешен в тестовом режиме
Операция с устройством разрешена
Копирование обновлений успешно завершено
Выполнен откат файла из-за ошибки обновления
Формирование списка файлов для загрузки
Началось применение правил шифрования / расшифровки файлов
Завершено применение правил шифрования / расшифровки файлов
Продолжено применение правил шифрования / расшифровки файлов
Запущена операция шифрования / расшифровки файла
Завершена операция шифрования / расшифровки файла
Шифрование файла не выполнено, так как файл является исключением
Деактивирован портативный режим
Запущена операция шифрования / расшифровки устройства
Завершена операция шифрования / расшифровки устройства
Возобновление шифрования / расшифровки устройства
Процесс шифрования / расшифровки устройства переведен в активный режим
Процесс шифрования / расшифровки устройства переведен в пассивный режим
Создана новая учетная запись Агента аутентификации
Удалена учетная запись Агента аутентификации
Изменен пароль для учетной записи Агента аутентификации
Успешная аутентификация в Агенте аутентификации
Аутентификация в Агенте аутентификации завершилась с ошибкой
Получен доступ к жесткому диску с помощью процедуры запроса доступа к зашифрованным устройствам
Учетная запись не добавлена. Такая учетная запись уже существует
Учетная запись не изменена. Такая учетная запись не существует
Учетная запись не удалена. Такая учетная запись не существует
Обновление функциональности шифрования завершено успешно
Откат обновления функциональности шифрования завершен успешно
Ключ восстановления для BitLocker изменен
Пароль / PIN-код для BitLocker изменен
Ключ восстановления BitLocker был сохранен на съемный диск
Задачи с сервера Kaspersky Anti Targeted Attack Platform не обрабатываются
Компонент Endpoint Sensor подключен к серверу
Связь с сервером Kaspersky Anti Targeted Attack Platform восстановлена
Задачи с сервера Kaspersky Anti Targeted Attack Platform обрабатываются
Объект помещен на карантин (Kaspersky Sandbox)
Объект удален (Kaspersky Sandbox)
Объект помещен на карантин (Endpoint Detection and Response)
Объект удален (Endpoint Detection and Response)
Состав компонентов приложения успешно изменен