附录 7.Kaspersky Security Center 事件日志中的应用程序事件
有关每个 Kaspersky Endpoint Security 组件的操作、数据加密事件、每个扫描任务的完成、更新任务和完整性检查任务以及应用程序的整体操作的信息都记录在 Kaspersky Security Center 事件日志中。
Kaspersky Endpoint Security 可生成以下类型的事件:一般事件和特别事件。特别事件仅由 Kaspersky Endpoint Security for Windows 创建。特别事件具有简单 ID,例如 000000cb
。特别事件包含以下所需参数:
GNRL_EA_DESCRIPTION
是事件的内容。GNRL_EA_ID
是事件的服务 ID。GNRL_EA_SEVERITY
是事件的状态。1
– 信息消息(),2
– 警告(),3
– 功能失败(),4
– 严重()。EVENT_TYPE_DISPLAY_NAME
是事件的标题。TASK_DISPLAY_NAME
是启动事件的应用程序组件的名称。
一般事件可以由 Kaspersky Endpoint Security for Windows 和其他 Kaspersky 应用程序创建(例如,Kaspersky Security for Windows Server)。一般事件具有更复杂的 ID,例如 GNRL_EV_VIRUS_FOUND
。除了必需的设置外,一般事件还包含高级设置。
Kaspersky Endpoint Security for Windows 一般事件列表
事件 ID |
| 描述 | 默认被启用 |
---|---|---|---|
| 内部任务错误。 | – | |
| 授权许可马上到期。 | – | |
| 授权许可即将到期。 | ||
| 擦除任务统计信息。 | ||
| 数据库丢失或损坏。 | – | |
| 数据库严重过期。 | ||
| 数据库已过期。 | ||
| 应用程序自动运行已禁用。 | ||
| 自动更新已禁用。 | ||
| 自我保护已禁用。 | ||
| 无法执行任务。 | ||
| 对应用程序资源的操作被自我保护阻止。 | ||
| 保护组件已禁用。 | ||
| 计算机正运行在安全模式。 | – | |
| 存在未处理的文件。 | ||
| 报告已清空。 | ||
| 应用程序设置已更改。 | ||
| 组策略已应用。 | ||
| 组策略已禁用。 | ||
| 任务已启动。 | ||
| 任务已停止。 | ||
| 任务已完成。 | ||
| 需要计算机重启。 | ||
| 授权许可允许未安装的组件的使用。 | ||
| 被授权许可定义的所有应用程序组件已被安装并在正常模式下运行。 | – | |
| 备用密钥不正确。 | ||
| 已检测到活动威胁。高级清除必须被启动。 | ||
| 高级清除已启动。 | ||
| 高级清除已完成。 | ||
| 订阅设置已更改。 | ||
| 订阅已续费。 | ||
| 订阅即将到期。 | ||
| 一些 OS 功能操作已禁用。 | ||
| 对象的备份副本已创建。 | ||
| 无法创建备份副本。 | ||
| 无法被删除。 | ||
| 对象未处理。 | ||
| 处理错误。 | ||
| 对象已加密。 | – | |
| 对象已损坏。 | – | |
| 对象将在重启时删除。 | ||
| 对象将在重启时被清除。 | ||
| 被先前清除过的副本覆盖。 | – | |
| 对象已重命名。 | ||
| 检测到对象的信息。 | ||
| 对象已从备份恢复。 | ||
| 无法从备份恢复对象。 | ||
| 对象位于私有 KSN 允许列表。 | ||
| 隔离区存储空间不足。 | ||
| 隔离区存储空间不足。 | ||
| 已从隔离恢复对象。 | ||
| 未从隔离恢复对象。 | ||
| 已从隔离删除对象。 | ||
| 未从隔离删除对象。 | ||
| 链接位于私有 KSN 允许列表。 | ||
| 应用程序被放置到受信任组。 | ||
| 应用程序被放置到受限制组。 | ||
| 主机入侵防御已触发。 | ||
| 进程已终止。 | ||
| 无法终止进程。 | – | |
| 回滚已完成。 | ||
| 文件已恢复。 | ||
| 注册表值已恢复。 | ||
| 注册表值已删除。 | – | |
| 任务设置错误。任务设置未应用。 | ||
| 任务设置被成功应用。 | ||
| 禁止的进程在 Kaspersky Endpoint Security for Windows 启动之前被启动。 | ||
| 警告后依然访问了垃圾内容。 | – | |
| 允许的页面已打开。 | – | |
| 设置操作已允许。 | – | |
| 到设备的临时访问已激活。 | ||
| 网络连接已阻止。 | ||
| 已开始应用文件加密/解密规则。 | ||
| 已完成应用文件加密/解密规则。 | ||
| 应用文件加密/解密规则错误。 | ||
| 创建加密包错误。 | ||
| 启用便携模式错误。 | ||
| 禁用便携模式错误。 | ||
| 更新组件错误。 | ||
| 分发组件更新错误。 | – | |
| 网络更新错误。 | – | |
| 操作被用户取消。 | ||
| 无法同时启动两个任务。 | ||
| 验证应用程序数据库和模块错误。 | ||
| 与 Kaspersky Security Center 交互错误。 | ||
| 没有可用更新。 | – | |
| 不是所有组件都被更新。 | ||
| 更新分发成功完成。 | – | |
| 更新成功完成,更新分发失败。 | – | |
| 加密/解密设备错误。 | ||
| 用户已退出加密策略。 | ||
| 加密模块已加载。 | – | |
| 加载加密模块失败。 | ||
| 策略无法被应用。 | ||
| 新身份验证代理账户已创建。 | – | |
| 身份验证代理账户已删除。 | – | |
| 身份验证代理账户密码已更改。 | – | |
| 身份验证代理登录成功。 | – | |
| 身份验证代理登录尝试失败。 | – | |
| 账户未添加。该账户已经存在。 | – | |
| 账户未修改。该账户不存在。 | – | |
| 账户未删除。该账户不存在。 | – | |
| 管理身份验证代理账户的任务以错误结束。 | ||
| FDE 升级成功。 | ||
| FDE 升级失败。 | ||
| FDE 升级回滚成功。 | ||
| 加密升级回滚已完成但带有错误(更多详情,请参见 Kaspersky Endpoint Security for Windows 在线帮助)。 | ||
| 在 WinRE 镜像中安装或升级卡巴斯基磁盘加密驱动程序失败。 | ||
| 从 WinRE 镜像中卸载卡巴斯基磁盘加密驱动程序失败。 | ||
| BitLocker 恢复密钥已更改。 | ||
| BitLocker 密码/PIN 已更改。 | ||
| BitLocker 恢复密钥保存在可移动驱动器上。 | ||
| 更改应用程序组件错误。 | ||
| 应用程序组件成功更改。 | ||
| 要完成该任务需要重启。 | ||
| 输入用户名和密码。 | ||
| 检测到可疑网络活动。 | ||
| 系统模块签名检查失败。 | ||
| 加密连接已终止。 | – | |
| 参与 KSN 已启用。 | ||
| 参与 KSN 已禁用。 | ||
| KSN 服务器可用。 | ||
| KSN 服务器不可用。 | ||
| 应用程序在相关法律下工作和处理数据并使用适当的基础架构。 | ||
| 键盘已授权。 | ||
| 键盘未授权。 | ||
| 键盘授权错误。 | ||
| Kaspersky Anti Targeted Attack Platform 服务器不可用。 | ||
| 端点传感器已连接到服务器。 | ||
| 到 Kaspersky Anti Targeted Attack Platform 服务器的连接已恢复。 | ||
| Kaspersky Anti Targeted Attack Platform 服务器的任务处理未活动。 | ||
| Kaspersky Anti Targeted Attack Platform 服务器的任务正在被处理。 | ||
| 应用程序启动已阻止。 | ||
| 文档打开已阻止。 | ||
| 所有第三方应用程序的网络活动已被阻止。 | ||
| 已取消阻止网络流量。 | ||
| 文件已在 Kaspersky Anti Targeted Attack Platform 服务器上由管理员隔离。 | ||
| 文件已在 Kaspersky Anti Targeted Attack Platform 服务器上由管理员从隔离恢复。 | ||
| 文件或流已被 Kaspersky Anti Targeted Attack Platform 服务器管理员删除。 | ||
| 文件已在 Kaspersky Anti Targeted Attack Platform 服务器上由管理员从隔离恢复。 | ||
| 从文件镜像或流启动的所有进程已被终止。 | ||
| 应用程序已启动。 | ||
| 补丁安装失败。 | ||
| 补丁回滚失败。 | ||
| AMSI 请求被阻止。 | ||
| 删除对象错误。 | ||
| 已允许进程运行,事件已记录。 | ||
| 对象启动已阻止。 | ||
| 已允许对象运行,事件已记录。 | ||
| 对象已隔离(Endpoint Detection and Response)。 | ||
| 对象未隔离(Endpoint Detection and Response)。 | ||
| 对象已删除(Endpoint Detection and Response)。 | ||
| 对象将在重启后删除(Endpoint Detection and Response)。 | ||
| 对象已隔离(Kaspersky Sandbox)。 | ||
| 对象未隔离(Kaspersky Sandbox)。 | ||
| 对象将在重启后删除(Kaspersky Sandbox)。 | ||
| 发生了内部错误。 | ||
| 扫描任务总大小已超过限制。 | ||
| 无效的 Kaspersky Sandbox 服务器证书。 | ||
| Kaspersky Sandbox 节点不可用。 | ||
| 在 Kaspersky Sandbox 中处理对象失败。 | ||
| Kaspersky Sandbox 授权许可验证失败。 | ||
| 找到 IOC。 | ||
| IOC 扫描已启动。 | ||
| IOC 扫描已完成。 | ||
| 网络隔离。 | ||
| 终止网络隔离。 |
事件 ID |
| 描述 | 设置 | 默认被启用 |
---|---|---|---|---|
| 检测到恶意对象。 |
| ||
| 检测到恶意对象(KSN)。 | |||
| 阻止了危险链接(Web 威胁防护)。 | |||
| 打开了危险链接(Web 威胁防护)。 | |||
| 检测到先前打开的危险链接(Web 威胁防护)。 | |||
| 检测到可被犯罪分子利用以破坏您的计算机或个人数据的合法软件 |
| ||
| 对象已清除。 |
| ||
| 对象已删除。 |
| ||
| 无法清除。 | |||
| 对象下载已阻止。 | |||
| 对象未处理(邮件威胁防护)。 对象扫描结果已被发送到第三方应用程序(AMSI 保护)。 | |||
| 检测到密码保护的存档。 | |||
| 检测到网络攻击(网络威胁防护)。 |
| ||
| 违反最终用户授权许可协议。 | – | ||
| 应用程序启动已允许(应用程序控制)。 |
| – | |
| 应用程序启动已禁止(应用程序控制)。 |
| ||
| Kaspersky Sandbox 异步警报。 |
| ||
| 应用程序启动已在测试模式中禁止(应用程序控制)。 |
| ||
| 应用程序启动已在测试模式中允许(应用程序控制)。 |
| – | |
| 给管理员的应用程序启动阻止消息(应用程序控制)。 |
| ||
| 访问被拒绝(Web 控制)。 |
| ||
| 访问被 KSN (Web 控制)。 |
| ||
| 警告垃圾内容(Web 控制)。 |
| ||
| 给管理员的网页访问阻止消息(Web 控制)。 |
| ||
| 给管理员的设备访问阻止消息(设备控制)。 |
| ||
| 设备已插入(设备控制)。 |
| ||
| 设备已拔出(设备控制)。 |
| ||
| 插入的设备已阻止(设备控制)。 |
| ||
| / | 进程操作已阻止/进程操作已跳过(自适应异常控制)。 |
| |
| 发送给管理员的应用程序活动阻止消息(自适应异常控制)。 |
| ||
| 文件访问被阻止。 |
| – | |
| 文件加密/解密错误。 |
| ||
| 已禁止对该设备执行操作 |
|
| |
| 文件操作已执行(设备控制)。 |
| – | |
| 任务结果。 |
|