Добавление правил анализа журналов с помощью Плагина управления

Чтобы добавить и настроить новое пользовательское правило анализа журналов, выполните следующие действия:

1. Разверните узел Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center.
2. Выберите группу администрирования, для которой требуется настроить параметры программы.
3. В панели результатов выбранной группы администрирования выполните одно из следующих действий:
   • Чтобы настроить параметры программы для группы защищаемых устройств, выберите вкладку Политики и откройте окно Свойства: <Имя политики>.
   • Чтобы настроить параметры задачи или программы для отдельного защищаемого устройства, выберите вкладку Устройства и перейдите к параметрам локальной задачи или параметрам программы.
4. В разделе Диагностика системы в подразделе Настройка нажмите на кнопку Анализ журналов.

   Откроется окно Анализ журналов.

5. На закладке Пользовательские правила снимите или установите флажок Применять пользовательские правила для анализа журналов.
   

   Если этот флажок установлен, Kaspersky Embedded Systems Security для Windows применяет пользовательские правила анализа журналов в соответствии с параметрами правил. Вы можете добавлять, удалять или изменять правила анализа журналов.

   Если флажок снят, нельзя добавлять или изменять пользовательские правила. Kaspersky Embedded Systems Security для Windows применяет параметры правил по умолчанию.

   По умолчанию флажок снят. Активно только правило обнаружения всплывающих окон программ.

   Вы можете контролировать применение стандартных правил для анализа журналов. Установите флажки напротив правил, которые вы хотите применять для анализа журналов.

6. Чтобы добавить новое пользовательское правило, нажмите на кнопку Добавить.

   Откроется окно Пользовательское правило.

7. В разделе Общие укажите следующие данные нового правила:
   • Имя правила
   • Правило срабатывает на появление новых записей в журнале событий Windows, если в параметрах события обнаружен указанный идентификатор (ID)
     

     Выберите журнал, события которого будут использоваться для анализа. Доступны следующие журналы событий Windows: Программа, Безопасность, Система.

     Вы можете добавить новый пользовательский журнал, указав название журнала в поле Правило срабатывает на появление новых записей в журнале событий Windows, если в параметрах события обнаружен указанный идентификатор (ID).

8. В разделе Критерии срабатывания укажите идентификаторы событий, при обнаружении которых будет срабатывать правило.
   1. Укажите идентификатор.
   2. Нажмите на кнопку Добавить.

      Указанный идентификатор события будет добавлен в список. Вы можете добавлять неограниченное количество идентификаторов для каждого правила.

9. Нажмите на кнопку OК.

   Правило анализа журналов добавится в список правил.