查看事件和报告
在应用程序运行时,可能会发生各种事件。这些事件可能是信息性的,也可能包含重要数据。例如,应用程序可以使用事件来通知成功的应用程序数据库更新,或者通知必须消除的应用程序组件操作中的错误。
Kaspersky Endpoint Security 将有关应用程序事件的信息保存到以下日志中:
- 应用程序事件日志。默认情况下,应用程序将有关事件的信息保存到数据库 /var/opt/kaspersky/kesl/private/storage/events.db。您可以在命令行中配置应用程序事件日志。
- 操作系统日志 (syslog)。默认情况下,不使用操作系统日志。您可以启用将事件保存到此日志的功能。
访问应用程序事件日志和操作系统日志需要 root 权限。
如果 Kaspersky Endpoint Security 由 Kaspersky Security Center 管理,则有关事件的信息可能会传输到 Kaspersky Security Center 管理服务器。聚合规则适用于某些事件。如果在应用程序运行期间,短时间内生成大量相同类型的事件,则应用程序将切换到事件聚合模式,同时向 Kaspersky Security Center 发送一个聚合事件,并提供事件设置说明。不同的事件可以使用不同的聚合规则。有关事件的更多详细信息,请参阅“Kaspersky Security Center 帮助”。
您可以通过以下方式接收有关应用程序事件的信息:
- 在管理控制台和 Web Console 中
- 在命令行中
- 如果使用 Kaspersky Endpoint Security 图形用户界面,则在应用程序弹出窗口中
某些事件可能包含文件路径。对于输出,文件路径被视为 UTF-8 字符串。如果路径中的任何字节不符合UTF-8编码规则,是否用?
字符替换。任何对 Unicode 范围之外的字符代码(大于 0x10FFFF)进行编码的四字节序列也将被替换为?
字符。特殊字符将以某种方式转义(替换)。
以下规则适用于输出“kesl-control -E --query
”中的事件所包含的文件路径中的转义字符:
- '\a'、'\b'、'\t'、'\n'、'\v'、'\f'、'\r' 字符按如下规则被替换为两个字符:
'\a' -> "\\a"
'\b' -> "\\b"
'\t' -> "\\t"
'\n' -> "\\n"
'\v' -> "\\v"
'\f' -> "\\f"
'\r' -> "\\r"
- 所有其他特殊字符均按原样输出。
以下规则适用于输出“kesl-control -E --query --json
”中的事件所包含的文件路径中的转义字符:
- 按照 JSON 格式,'\b'、'\f'、'\n'、'\r'、'\t'、'"'、'\\'字符转义如下:
'\b' -> "\\b"
'\f' -> "\\f"
'\n' -> "\\n"
'\r' -> "\\r"
'\t' -> "\\t"
'"' -> "\\\""
'\\' -> "\\\\"
- 所有其他特殊字符均按照 JSON 中转义特殊字符的通用规则进行转义('\a' -> '\u0007 ')。
发送到 syslog 时事件所包含的文件路径中的转义字符规则:
- 按照 JSON 格式,'\b'、'\f'、'\n'、'\r'、'\t'、'"'、'\\'字符转义如下:
'\b' -> "\\b"
'\f' -> "\\f"
'\n' -> "\\n"
'\r' -> "\\r"
'\t' -> "\\t"
'"' -> "\\\""
'\\' -> "\\\\"
- 所有其他特殊字符均按照 JSON 中转义特殊字符的通用规则进行转义('\a' -> '\u0007 ')。
在描述规则时,序列中的第一个反斜杠是转义字符。
例如:
|
应用程序会根据应用程序运行时发生的事件生成各种类型的报告。报告包含有关每个 Kaspersky Endpoint Security 组件的操作、每个任务的结果以及应用程序整体操作情况的信息。
您可以通过以下方式查看报告:
- Kaspersky Security Center 报告可在管理控制台和 Web Console 中获取。您可以使用它们来获取有关受感染文件或密钥和应用程序数据库的使用情况等的信息。有关使用 Kaspersky Security Center 报告的详细信息,请参阅“Kaspersky Security Center 帮助”。
- 应用程序报告可在 Kaspersky Endpoint Security 图形用户界面中获取。
活动和报告可能包含以下个人数据:
- 操作系统用户的用户名和用户 ID
- 用户文件的路径
- 反加密勒索组件扫描的远程设备的 IP 地址
- 防火墙管理组件扫描的网络数据包的发送者和接收者的 IP 地址
- 更新源的网址
- 常规应用程序设置的值
- 命令行任务的名称和设置
- 检测到恶意网址、网络钓鱼网址、广告软件网址以及包含入侵者可以用来破坏设备或数据的合法应用程序的网址
- 容器和映像的名称
- 容器和镜像的路径
- 设备的名称和 ID
- 存储库的网址
- 可执行应用程序文件的文件名、文件路径与哈希和
- 应用程序类别名