Содержание
Журналы программы
Kaspersky Security записывает информацию о своей работе (например, сообщения об ошибках программы или предупреждения) в журнал событий Windows и в журналы событий Kaspersky Security.
О журнале событий Windows
В журнал событий Windows записывается информация о работе Kaspersky Security, на основании которой администратор Kaspersky Security или специалист по информационной безопасности могут контролировать работу программы.
События, связанные с работой Kaspersky Security, регистрируются в журнале событий Windows от имени источника KSE и отображаются в Журналах приложений и служб в разделе Kaspersky Security для Exchange Servers. Базовые события, связанные с работой программы, имеют фиксированные коды событий. Вы можете использовать код события для поиска и фильтрации событий в журнале.
О журналах событий Kaspersky Security
Журналы событий Kaspersky Security представляют собой файлы формата TXT, которые хранятся локально в папке <Папка установки программы>\logs. Вы можете задать для хранения журналов другую папку.
Подробность ведения журналов событий программы зависит от установленных параметров детализации журналов.
Kaspersky Security ведет журналы событий по следующему алгоритму:
- Программа записывает информацию в конец самого нового журнала.
- Когда размер журнала достигает 100 МБ, программа архивирует его и создает новый журнал.
- По умолчанию программа хранит файлы журналов в течение 14 дней с момента внесения последнего изменения в журнал, а затем удаляет их. Вы можете установить другой срок хранения журналов.
Для каждого Сервера безопасности создаются отдельные журналы независимо от варианта развертывания программы.
В папке с журналами программы и в папке с данными программы (<Папка установки программы>\data) могут содержаться конфиденциальные данные. Программа не обеспечивает защиту от несанкционированного доступа к данным в этих папках. Вам необходимо предпринять собственные меры по защите данных в этих папках от несанкционированного доступа.
События Kaspersky Security в журнале событий Windows
В этом разделе собрана информация о базовых событиях в работе программы, которые записываются в журнал событий Windows. События, связанные с работой Kaspersky Security, регистрируются в журнале событий Windows от имени источника KSE. Такие события имеют фиксированный код события. События в таблице отсортированы по возрастанию кода события.
Базовые события в работе программы
Код события |
Уровень важности события |
Описание |
1000 |
Ошибка |
Событие записывается, если программа обнаруживает, что базы Антивируса устарели более чем на сутки. В записи о событии указывается тип баз и дата выпуска баз. |
Предупреждение |
Событие записывается, если программа обнаруживает, что базы Анти-Спама устарели более чем на пять часов. В записи о событии указывается тип баз и дата выпуска баз. |
|
1001 |
Сведения |
Событие записывается, если программа обнаруживает зараженный или защищенный объект, либо файл вложения, который соответствует критериям фильтрации вложений, а также в рабочей области узла Уведомления установлен флажок Записывать события в журнал Windows для соответствующих типов уведомлений. |
1004 |
Предупреждение |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления, настроен параметр Уведомить заранее об истечении срока действия лицензии (дни) и срок действия лицензии скоро истечет. В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до окончания этого срока. |
1005 |
Ошибка |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и срок действия лицензии истек. В записи о событии указывается ключ и дата окончания срока действия лицензии. |
1007 |
Ошибка |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и активный ключ не обнаружен. |
1008 |
Сведения |
Событие записывается, если базы программы были обновлены до последней версии. В записи о событии указывается тип баз и дата выпуска баз. |
1009 |
Ошибка |
Событие записывается, если программа зафиксировала ошибки в работе компонента. В записи о событии указывается название компонента и описание ошибки. |
Предупреждение |
Событие записывается, если программа зафиксировала выключение компонента. В записи о событии указывается название компонента. |
|
Сведения |
Событие записывается, если программа зафиксировала включение компонента. В записи о событии указывается название компонента. |
|
1010 |
Ошибка |
Событие записывается, если произошла ошибка на SQL-сервере и база данных перестала быть доступна. В записи о событии указывается имя базы данных, имя SQL-сервера и описание ошибки. |
Сведения |
Событие записывается, если доступ к базе данных на SQL-сервере восстановлен и ошибки в работе устранены. В записи о событии указывается имя базы данных и имя SQL-сервера. |
|
1011 |
Сведения |
Событие записывается, если пользователь запросил запуск фоновой проверки. В записи о событии указывается учетная запись пользователя. |
1012 |
Сведения |
Событие записывается, если пользователь запросил остановку фоновой проверки. В записи о событии указывается учетная запись пользователя. |
1013 |
Сведения |
Событие записывается, если фоновая проверка была запущена вручную или автоматически по расписанию. В записи о событии указывается тип запуска. |
1014 |
Сведения |
Событие записывается, если фоновая проверка была остановлена. В записи о событии указывается причина остановки проверки. |
1015 |
Предупреждение |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и программе не удалось обновить статус лицензии. В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до перехода в режим ограниченной функциональности. |
1016 |
Ошибка |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления, программе не удалось обновить статус лицензии и срок обновления лицензии истек. В записи о событии указывается описание причины возникновения ошибки. |
1025 |
Сведения |
Событие записывается, если в узле Уведомления для события Спам и фишинг в блоке Параметры уведомлений установлен флажок Спам и программа обнаружила сообщение, содержащее спам или возможный спам. В записи о событии указывается информация о сообщении. |
1026 |
Сведения |
Событие записывается, если в узле Уведомления для события Спам и фишинг в блоке Параметры уведомлений установлен флажок Массовая рассылка и программа обнаружила сообщение, содержащее массовую рассылку. В записи о событии указывается информация о сообщении. |
1027 |
Сведения |
Событие записывается, если в узле Уведомления для события Спам и фишинг в блоке Параметры уведомлений установлен флажок Фишинг и программа обнаружила сообщение, содержащее фишинговую ссылку. В записи о событии указывается информация о сообщении. |
1028 |
Сведения |
Событие записывается, если в узле Уведомления для события Фильтрация однотипных сообщений в блоке Параметры уведомлений установлен флажок Записывать события в журнал Windows и программа обнаружила превышение ограничения по количеству сообщений, отправленных с внутреннего адреса электронной почты. В записи о событии указывается информация о последнем отфильтрованном сообщении. |
1029 |
Ошибка |
Событие записывается, если установлен флажок Обрабатывать спуфинг корпоративной почты (BEC) как спам в узле Защита сервера и AD-группа не существует или пустая. |
Ошибка |
Событие записывается, если если установлен флажок Обрабатывать спуфинг корпоративной почты (BEC) как спам в узле Защита сервера и количество записей (имя пользователя + адрес электронной почты) достигло 10 000. |
|
11010 |
Сведения |
Событие записывается, если Консоль управления была запущена. В записи о событии указывается учетная запись пользователя, запустившего Консоль управления. |
11011 |
Сведения |
Событие записывается, если Консоль управления была закрыта. В записи о событии указывается учетная запись пользователя, закрывшего Консоль управления. |
11020 |
Ошибка |
Событие записывается, если компонент программы перешел в режим ограниченной проверки. В записи о событии указывается название компонента и время его перехода в режим ограниченной проверки. |
11100 |
Предупреждение |
Событие записывается, если использование KSN ограничено. В записи о событии указывается об использовании KSN в ограниченном режиме. |
11103 |
Сведения |
Событие записывается, если использование KSN не ограничено. В записи о событии указывается об использовании KSN без ограничений. |
11106 |
Предупреждение |
Событие записывается, если регион работы KSN был изменен. В записи о событии указываются наименования предыдущего и текущего регионов работы KSN. |
2055 |
Ошибка |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и при автоматическом обновлении статуса лицензии возникла ошибка. В записи о событии указывается описание причины возникновения ошибки. |
30000 |
Сведения |
Событие записывается, если параметры программы были изменены. В записи о событии указывается учетная запись пользователя, изменившего параметры, область изменений (например, Anti-Spam), значение измененного параметра. |
31000 |
Сведения |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и статус ключа, дата окончания срока действия лицензии, количество пользователей или тип лицензии изменились. В записи о событии указывается ключ, тип лицензии, дата окончания срока действия лицензии и количество пользователей лицензии. |
31022 |
Сведения |
Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и пользователь выполнил действия с ключом Сервера безопасности. В записи о событии указывается учетная запись пользователя. |
42404 |
Сведения |
Событие записывается, если удален объект из резервного хранилища. В записи о событии указывается подробная информация об объекте и учетная запись пользователя, если объект был удален пользователем. Программа удаляет объект в соответствии с настройками параметров резервного хранилища. |
42405 |
Сведения |
Событие записывается, если пользователь отправил возможно зараженный объект из резервного хранилища на исследование в "Лабораторию Касперского". В записи о событии указывается учетная запись пользователя и подробная информация об объекте. |
42406 |
Сведения |
Событие записывается, если пользователь отправил объект из резервного хранилища исходным получателям. В записи о событии указывается учетная запись пользователя и подробная информация об объекте. |
42421 |
Сведения |
Событие записывается, если пользователь отправил объект, ложно идентифицированный программой как спам, из резервного хранилища на исследование в "Лабораторию Касперского". В записи о событии указывается учетная запись пользователя и подробная информация об объекте. |
42422 |
Сведения |
Событие записывается, если пользователь сохранил на диск объект из резервного хранилища. В записи о событии указывается учетная запись пользователя и подробная информация об объекте. |
42423 |
Сведения |
Событие записывается, если пользователь отправил объект из резервного хранилища на адреса электронной почты, указанные вручную. В записи о событии указывается учетная запись пользователя и подробная информация об объекте. |
42706 |
Ошибка |
Событие записывается, если базы программы не удалось обновить. В записи о событии указывается тип баз и описание ошибки. |
42707 |
Сведения |
Событие записывается, если ошибка обновления баз программы устранена и базы обновлены успешно. В записи о событии указывается тип баз и дата выпуска баз. |
48808 |
Сведения |
Событие записывается, если программа обнаружила исходящее сообщение электронной почты, содержащее спам или фишинг. В записи о событии содержатся сведения о сообщении. |
Настройка параметров журналов программы
Чтобы настроить параметры журналов программы, выполните следующие действия:
- В дереве Консоли управления выполните следующие действия:
- если вы хотите настроить параметры журналов для нераспределенного Сервера безопасности, раскройте узел нужного Сервера безопасности;
- если вы хотите настроить параметры журналов для Серверов безопасности одного профиля, раскройте узел Профили и в нем раскройте узел профиля, для Серверов безопасности которого вы хотите настроить параметры журналов.
- Выберите узел Настройка.
- Раскройте блок параметров Диагностика и выполните следующие действия:
- В поле Папка с журналами укажите путь к папке, предназначенной для хранения журналов. По ссылке По умолчанию вы можете вернуть путь, установленный по умолчанию (
<Папка установки программы>\logs).В строке не допускается использование системных переменных, таких как %TEMP%.
Не рекомендуется использовать в качестве папки с журналами сетевые папки. Их работоспособность не поддерживается программой.
Вы можете указать путь к папке хранения журналов отдельно для каждого Сервера безопасности. Этот параметр нельзя задать для профиля.
Если вы укажете другую папку хранения журналов, программа начинает создавать файлы журналов в новой папке. При этом старые файлы журналов остаются в прежней папке хранения журналов. Если новая папка хранения журналов не существует, она будет создана. Если доступ к новой папке отсутствует (например, из-за отсутствия прав), программа записывает журналы в папку, установленную по умолчанию, до тех пор, пока доступ к новой папке не будет обеспечен. Переход к использованию новой папки хранения журналов выполняется в течение 30 минут после предоставления доступа к папке.
- В поле ввода с прокруткой Срок хранения журналов укажите временной интервал, в течение которого журналы хранятся в папке после создания. По истечении этого времени программа удаляет журналы.
Значение по умолчанию – 14 дней.
- Настройте уровень детализации. Уровень детализации определяет степень подробности ведения журналов.
- В поле Папка с журналами укажите путь к папке, предназначенной для хранения журналов. По ссылке По умолчанию вы можете вернуть путь, установленный по умолчанию (
- Нажмите на кнопку Сохранить.
Программа начнет записывать события в журналы в соответствии с установленными параметрами.
Если программа работает на сервере Microsoft Exchange в составе группы DAG, параметры журналов, настроенные на одном из серверов Microsoft Exchange, автоматически распространяются на остальные серверы Microsoft Exchange, входящие в эту группу DAG. На остальных серверах Microsoft Exchange в составе этой группы DAG настраивать параметры журналов не требуется.
В началоНастройка детализации журналов программы
Чтобы настроить детализацию журналов программы, выполните следующие действия:
- В дереве Консоли управления выполните следующие действия:
- если вы хотите настроить уровень детализации журналов для нераспределенного Сервера безопасности, раскройте узел нужного Сервера безопасности;
- если вы хотите настроить уровень детализации журналов для Серверов безопасности профиля, раскройте узел Профили и в нем раскройте узел профиля, для Серверов безопасности которого вы хотите настроить уровень детализации журналов.
- Выберите узел Настройка.
- Раскройте блок параметров Диагностика.
- Нажмите на кнопку Настройка в блоке параметров Детализация журналов.
Откроется окно Параметры диагностики.
- Установите флажки напротив тех событий, информацию о которых программа должна записывать в журнал.
- Нажмите на кнопку OK, чтобы сохранить изменения и закрыть окно.
Если вы выбрали несколько событий в окне, то уровень детализации изменится на Пользовательский. Программа будет записывать основные события в работе программы, а также подробную информацию для указанных вами событий.
Если вы выбрали все события в окне, то уровень детализации изменится на Максимальный. Программа будет записывать в журналы подробную информацию о всех событиях.
Ведение подробных журналов программы может замедлять работу программы.
В подробные журналы могут быть записаны конфиденциальные данные из содержимого сообщений и сетевых запросов.
- Если необходимо сбросить настроенную детализацию журнала, нажмите на кнопку Сбросить.
Программа изменит уровень детализации на Минимальный. В журналы будут записываться только основные события в работе программы: результат проверки объектов, результат загрузки обновлений баз и результат добавления ключа.
- Нажмите на кнопку Сохранить, чтобы сохранить сделанные изменения.
Если программа работает на сервере Microsoft Exchange в составе группы DAG, уровень детализации, настроенный на одном из серверов Microsoft Exchange, автоматически распространяется на остальные серверы Microsoft Exchange, входящие в эту группу DAG. На остальных серверах Microsoft Exchange в составе этой группы DAG настраивать уровень детализации не требуется.
В начало
Окно Параметры диагностики
В окне Параметры диагностики отображается список событий. В списке Включить подробную запись событий вы можете выбрать события в работе программы, информацию о которых программа будет записывать в журнал.
Эта информация может потребоваться для Службы технической поддержки. Для получения дополнительных сведений вы можете обратиться в Службу технической поддержки.
По умолчанию все флажки сняты.