Настройка параметров журналов с помощью Плагина управления

10 ноября 2022

ID 148501

Вы можете настраивать следующие параметры журналов Kaspersky Embedded Systems Security:

  • длительность хранения событий в журналах выполнения задач и журнале системного аудита;
  • местоположение папки, в которой Kaspersky Embedded Systems Security сохраняет файлы журналов выполнения задач и журнала системного аудита;
  • пороги формирования событий Базы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась;
  • события, которые Kaspersky Embedded Systems Security сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Embedded Systems Security в оснастке Просмотр событий;
  • параметры публикации событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.

Чтобы настроить параметры журналов Kaspersky Embedded Systems Security, выполните следующие действия:

  1. В дереве Консоли программы откройте контекстное меню узла Журналы и уведомления и выберите пункт Свойства.

    Откроется окно Параметры журналов и уведомлений.

  2. В окне Параметры журналов и уведомлений настройте параметры журналов в соответствии с вашими требованиями. Для этого выполните следующие действия:
    • На закладке Общие, если требуется, выберите события, которые Kaspersky Embedded Systems Security сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Embedded Systems Security в оснастке Просмотр событий. Для этого выполните следующие действия:
      • В списке Компонент выберите компонент Kaspersky Embedded Systems Security, уровень детализации событий которого вы хотите указать.

      Для компонентов Постоянная защита файлов, Проверка по требованию и Обновление предусмотрена запись событий в журналы выполнения задач и журнал событий. Для этих компонентов таблица событий содержит графы Журнал выполнения задачи и Журнал событий Windows. Для компонентов Карантин и Резервное хранилище события записываются в журнал системного аудита и журнал событий. Для этих компонентов таблица событий содержит графы Системный аудит и Журнал событий Windows.

      • В списке Уровень важности выберите уровень детализации событий в журналах выполнения задач, журнале системного аудита и журнале событий для выбранного компонента.

        В таблице событий флажки установлены рядом с событиями, которые регистрируются в журналах выполнения задач, журнале системного аудита и журнале событий в соответствии с выбранным уровнем детализации.

      • Если вы хотите вручную включить запись отдельных событий для выбранного функционального компонента, выполните следующие действия:
      1. В списке Уровень важности выберите Другой.
      2. В таблице списка событий установите флажки рядом с теми событиями, запись которых в журналы выполнения задач, журнал системного аудита и журнал событий вы хотите включить.
    • На закладке Дополнительно настройте параметры хранения журналов и пороги формирования событий для состояния защиты устройства:
      • В разделе Хранение журналов:
        • Папка с журналами
        • Удалять события в журналах выполнения задач старше, чем (сут)
        • Удалять события в журнале системного аудита старше, чем (сут)
      • В разделе Пороги формирования событий:
        • Укажите количество дней, по истечении которого будут регистрироваться события Базы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась.

    • На закладке Интеграция с SIEM настройте параметры публикации событий аудита и событий выполнения задач на syslog-сервере.
  3. Нажмите на кнопку OK, чтобы сохранить изменения.

В этом разделе

Об интеграции с SIEM

Настройка параметров интеграции с SIEM

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!