Настройка логирования в режиме ICAP
05 марта 2024
ID 179896
В этом разделе описано, как настроить логирование в режиме ICAP вручную без использования Kaspersky Scan Engine GUI.
В режиме ICAP Kaspersky Scan Engine может записывать свою активность. Параметры логирования задаются в файле конфигурации icapdkavlog.conf (далее – файл конфигурации логирования), расположенном в директории /opt/kaspersky/ScanEngine/bin
.
Вы можете изменить параметры логирования после запуска службы kavicapd
.
См. также подробные инструкции, как включить логирование.
Элементы файла конфигурации логирования
Logging
– корневой элемент файла. Этот элемент имеет два дочерних элемента: DebugLogging
и SyslogLogging
.
Раздел DebugLogging
DebugLogging
– это родительский элемент, который содержит параметры журналов, которые записываются непосредственно в файлы журналов и могут помочь идентифицировать сбои в работе службы.Этот элемент имеет следующие дочерние элементы.
Level
– указывает уровень логирования.Возможные значения:
none
илиnon
Логирование выключено.
debug
илиdbg
Уровень отладки. На этом уровне логирования Kaspersky Scan Engine регистрирует информацию, которая может помочь в выявлении проблем, например об изменении состояния соединения с прокси-сервером или возвращаемых значениях функций Kaspersky Scan Engine.
Если вы включите уровень отладки журнала, учтите, что сообщения журнала будут содержать конфиденциальные данные.
Значение по умолчанию:
none
.Target
– родительский элемент для параметров, указывающих, куда должны записываться журналы.File
– указывает, что журналы записываются непосредственно в файлы журналов. Он также определяет свойства файлов журнала.Этот элемент имеет следующие атрибуты:
size_limit
– указывает максимально возможный размер файла журнала в мегабайтах (МБ).Если значение этого атрибута равно
0
, размер файла журнала не ограничен.Значение по умолчанию:
0
.folder
– указывает директорию, в которой хранятся файлы журнала.Путь может быть абсолютным или относительным. Относительный путь определяется относительно директории, в которой расположен исполняемый файл kavicapd.
Значение по умолчанию:
./logs
.clear_folder – указывает
, должен ли Kaspersky Scan Engine удалять старые журналы при инициализации.Kaspersky Scan Engine удаляет старые файлы журналов, только если значение этого параметра равно
1
,yes
,true
,on
илиenabled
. Если значение этого параметра равно0
,no
,false
,off
илиdisabled
, Kaspersky Scan Engine не удаляет старые файлы журналов. Обратите внимание, что Kaspersky Scan Engine проверяет этот параметр и удаляет журналы при запуске службы. Если значение этого параметра равно1
,yes
,true
,on
илиenabled
, когда служба уже запущена, файлы журнала не удаляются до перезапуска службы.Значение по умолчанию:
0
.
Сгенерированные файлы журналов имеют следующие имена: icapdkav_<pid>_<date_time>_<log_number>.log, где <pid> – это PID процесса, <date_time> – локальная системная дата в формате
YYYY-MM-DDhhmmss
, а <log_number> – номер журнала (этот параметр добавляется к имени файла, только если файл журнала icapdkav_<pid>_<date_time>.log уже существует).
Раздел SyslogLogging
SyslogLogging
– это родительский элемент, который содержит настройки для журналов, которые перенаправляются вsyslogd
.Этот элемент имеет следующие дочерние элементы:
SyslogEnabled
– указывает, отправляет ли Kaspersky Scan Engine сообщения системного журнала.Возможные значения:
0
,false
,no
,off
илиdisabled
Выключает отправку сообщений системного журнала.
- Любое другое значение
Включает отправку сообщений системного журнала.
Если вы разрешаете отправку сообщений системного журнала, учтите, что эти сообщения будут содержать конфиденциальные данные, такие как личные данные, определенные GDPR, данные конфигурации продукта и информацию о лицензировании.
Syslog
определяет параметры, относящиеся к сообщениям системного журнала.Этот элемент имеет следующие атрибуты:
destination
– задает адрес назначения для сообщений системного журнала.Возможны следующие адреса назначения сканирования:
- IP-адрес. В этом случае укажите значение
%PROTOCOL%%IP%:%PORT%
, где%PROTOCOL%
– это сетевой протокол (используйтеtcp://
илиudp://
для этого значения),%IP%
– это IPv4-адрес, на который приходят сообщения системного журнала,%PORT%
– это порт, который принимает сообщения системного журнала. Если вы не укажете протокол, как описано выше, KAV SDK будет использовать протокол UDP. - Демон syslog. В этом случае укажите значение
localhost
для перенаправления сообщения syslog демону syslog. - Файл журнала. В этом случае укажите путь к директории, в которой будет создан файл журнала. Путь должен начинаться с
/var/log/kaspersky
. Файл журнала с сообщениями системного журнала, созданный в ходе предыдущих сеансов, не удаляется, и ICAP-плагин добавляет в этот файл новую информацию.
Если необходимо записывать журналы в разные места, вы можете указать несколько элементов
Syslog
. В этом случае значения атрибутаdestination
этих элементов должны различаться.- IP-адрес. В этом случае укажите значение
format
– указывает формат сообщений системного журнала.Возможные значения:
cef
– указывает формат CEF сообщений системного журнала.raw
– указывает формат RAW сообщений системного журнала. Значениеraw
используется, когда значение, указанное в этом элементе, не являетсяcef
илиraw
, или если в этом элементе не указано значение, или если файл конфигурации логирования не содержит параметрSyslogFormat
.
Syslog
может иметь следующий дочерний элемент:LoggedEvent
– определяет события, которые необходимо зарегистрировать.Допускается указывать несколько значений
LoggedEvent
. Каждое из этих значений устанавливает тип события, которое будет зарегистрировано в местоположении, указанном в атрибутеdestination
.Возможные значения:
Audit
– указывает события аудита системы.Init
– указывает события инициализации службы.Deinit
– указывает события деинициализации службы и сторожевые события.Update
– указывает события обновления и перезагрузки антивирусных баз.License
– указывает события, связанные с лицензией.Engine
- указывает события антивирусного движка. Эти события могут часто публиковаться.ScanResultClean
– указывает события завершения сканирования, когда сканируемый объект считается безопасным.ScanResultDetect
– указывает события завершения сканирования при обнаружении угрозы.ScanResultOther
– указывает события завершения сканирования, когда объект не сканировался.
Если элемент
Syslog
не содержит дочернего элементаLoggedEvent
, регистрируются все события ICAP.Если настройки
Syslog
неверны, логирование в указанное место назначения будет выключено.Когда логирование системного журнала включено, также включается аудит системы. Если ни один из элементов
SyslogEvents
не содержит событияAudit
, настройки аудита системы устанавливаются следующим образом: дляSyslogFormat
задано значениеraw
, дляSyslogTarget
задано значениеlocalhost
, а дляSyslogEvents
задано значениеaudit
.
Kaspersky Scan Engine может вести логи отладки и отправлять сообщения системного журнала одновременно или по отдельности.
Структура файла конфигурации логирования
Ниже приведен пример файла конфигурации логирования:
<?xml version="1.0"?> <Logging> <DebugLogging> <Level>debug</Level> <File size_limit="10" folder="./logs/scanevents" clear_folder="1"/> </DebugLogging> <SyslogLogging> <SyslogEnabled>1</SyslogEnabled> <Syslog destination="udp://192.168.1.1" format="cef"> <LoggedEvent>ScanResultClean</LoggedEvent> <LoggedEvent>ScanResultDetect</LoggedEvent> </Syslog> <Syslog destination="localhost" format="raw"> <LoggedEvent>ScanResultOther</LoggedEvent> </Syslog> <Syslog destination="/opt/kav/sdk8l3/logs" format="raw"> <LoggedEvent>Audit</LoggedEvent> <LoggedEvent>Engine</LoggedEvent> </Syslog> </SyslogLogging> </Logging> |