Настройка параметров получения сообщений от компонента Мониторинг файловых операций

Управляемые программы, такие как Kaspersky Security для Windows Server или Kaspersky Security для виртуальных сред Легкий агент, отправляют сообщения от компонента Мониторинг файловых операций в Kaspersky Security Center. Kaspersky Security Center позволяет также следить за неизменностью критически важных областей систем (например, веб-серверы, банкоматы) и оперативно реагировать на нарушения целостности таких систем. Для этого реализована поддержка получения сообщений от компонента Мониторинг файловых операций. Компонент Мониторинг файловых операций позволяет следить не только за файловой системой устройства, но и за ветками реестра, состоянием сетевого экрана и состоянием подключенного оборудования.

Требуется выполнить настройку Kaspersky Security Center, чтобы получать сообщения от компонента Мониторинг файловых операций без использования программ Kaspersky Security для Windows Server или Kaspersky Security для виртуальных сред Легкий агент.

Чтобы настроить параметры получения сообщений от компонента Мониторинг файловых операций:

1. Откройте системный реестр устройства, на котором установлен Сервер администрирования, например, локально с помощью команды regedit в меню Пуск → Выполнить.
2. Перейдите в раздел:
   • для 32-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags

   • для 64-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags

3. Создайте ключи:
   • Создайте ключ KLSRV_EVP_FIM_PERIOD_SEC, чтобы указать интервал времени подсчета числа обработанных событий. Задайте следующие параметры:
     1. Укажите название ключа KLSRV_EVP_FIM_PERIOD_SEC.
     2. Укажите тип ключа DWORD.
     3. Задайте диапазон значений промежутка времени от 43 200 до 172 800 секунд. По умолчанию промежуток проверки равен 86 400 секунд.
   • Создайте ключ KLSRV_EVP_FIM_LIMIT для ограничения количества принимаемых событий за указанный промежуток времени. Задайте следующие параметры:
     1. Укажите название ключа KLSRV_EVP_FIM_LIMIT.
     2. Укажите тип ключа DWORD.
     3. Задайте диапазон значений принимаемых событий от 2000 до 50 000. По умолчанию количество событий равно 20 000.
   • Создайте ключ KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC для подсчета событий с точностью до определенного промежутка времени. Задайте следующие параметры:
     1. Укажите название ключа KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC.
     2. Укажите тип ключа DWORD.
     3. Задайте диапазон значений от 120 до 600 секунд. Временной интервал, установленный по умолчанию, составляет 300 секунд.
   • Создайте ключ KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC, чтобы после указанного значения времени программа выполняла проверку того, что число событий, обработанных за промежуток времени, становится меньше заданного ограничения. Проверка выполняется при достижении ограничения приема событий. Если условие выполняется, возобновляется сохранение событий в базу данных. Задайте следующие параметры:
     1. Укажите название ключа KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC.
     2. Укажите тип ключа DWORD.
     3. Задайте диапазон значений от 600 до 3600 секунд. Временной интервал, установленный по умолчанию, составляет 1800 секунд.

   Если ключи не созданы, используются значения по умолчанию.

4. Перезапустите службу Сервера администрирования.

Ограничения получения событий от компонента Мониторинга файловых операций будут настроены. Результаты работы компонента Мониторинг файловых операций можно посмотреть в отчетах Топ 10 правил Мониторинга файловых операций / Контроля целостности системы, наиболее часто срабатывающие на устройствах и Топ 10 устройств с правилами Мониторинга файловых операций / Контроля целостности системы, срабатывающими чаще всего.