在命令行中查看事件
在命令行中,您可以查看:
- 当前应用程序事件
- 应用程序事件日志中的事件
显示当前事件
您可以输出有关所有当前应用程序事件的信息,或与启动或停止指定任务相关的当前事件的信息。您可以使用筛选器输出某些当前事件,例如指定类型的事件。
要输出有关所有当前应用程序事件的信息,请运行:
kesl-control -W
该命令将返回事件的名称以及有关事件的其他信息。
要仅输出与运行中任务相关的当前事件的信息,请运行:
kesl-control --start-task <任务 ID/名称> -W
| 示例: 启用 ID=1 的运行中任务的当前事件的显示:
|
要输出符合筛选条件的当前事件信息,请运行:
kesl-control -W --query "<筛选条件>"
筛选条件是通过一个或多个逻辑表达式来设置的,格式为 <字段> <比较运算符> ‘<值>’,结合逻辑运算符 and。
| 示例: 显示 TaskStateChanged 事件:
|
| 示例: 显示由“User”用户发起的 TaskSettingsChanged 事件:
|
显示事件日志中的事件
您可以将有关事件的信息从应用程序事件日志输出到控制台或文件。您可以使用筛选器仅显示某些事件。
要输出有关应用程序事件日志中的所有事件的信息,请运行:
kesl-control -E --query [--db <数据库文件>]
其中:
<数据库文件>是从中输出事件的事件日志数据库文件的完整路径。默认情况下,应用程序将有关事件的信息保存到数据库 /var/opt/kaspersky/kesl/private/storage/events.db。数据库的位置由 EventsStoragePathglobal application setting决定。
您可以使用 less 命令来浏览显示的事件列表。默认下,应用程序存储多达 500,000 个事件。应用程序存储的最大事件数量取决于 MaxEventsNumber 常规应用程序设置。
如果事件日志位于默认数据库中,则可以使用以下命令输出有关所有事件的信息:
kesl-control -E
要输出应用程序事件日志中符合特定条件的事件的信息,请运行:
kesl-control -E --query "<筛选条件>" [--db <数据库文件>] [-n <数量>] [--json] [--reverse]
其中:
<筛选条件>:一个或多个逻辑表达式,格式为<字段><比较运算符>'<值>',结合逻辑运算符and来限制结果。<数量>– 要显示的所选内容中最新事件的数量(从所选内容的末尾开始计算的记录数量)。--json:以 JSON 格式输出事件。--reverse:倒序显示事件(最新事件显示在顶部,最早事件显示在底部)。
要将有关应用程序事件日志中符合特定条件的事件的信息输出到文件,请运行:
kesl-control -E --query "<筛选条件>" [--db <数据库文件>] [-n <数量>] --file <文件名和路径> [--json]
其中 --file <文件名和路径> 是输出事件到文件的完整路径。