在事件日志中添加或排除记录

事件记录仅对运行可移动磁盘驱动器上的文件可用。

要启用或禁用事件记录，请执行以下操作：

1. 打开程序设置窗口。
2. 在窗口左侧的“端点控制”区域中，选择“设备控制”。

   在窗口右侧，显示了设备控制组件的设置。

3. 在窗口右侧，选择“设备类型”选项卡。

   “设备类型”选项卡包含设备控制组件分类中包括的所有设备的访问规则。

4. 选择设备表中的“可移动磁盘驱动器”。

   表上方的“日志记录”按钮将可用。

5. 单击“日志记录”按钮。

   这会打开“日志记录设置”窗口。

6. 执行下列操作之一：
   • 如果您希望启用记录可移动磁盘驱动器上的文件删除和写入操作，请选择“启用日志记录”复选框。

     Kaspersky Endpoint Security 会将事件保存在日志文件中并发送消息至 Kaspersky Security Center 管理服务器，无论用户是否在可移动磁盘驱动器上写入或删除文件。

   • 否则，清空“启用日志记录”复选框。
7. 指定必须记录的操作。若要进行操作，请执行下列操作之一：
   • 如果您希望 Kaspersky Endpoint Security 记录所有事件，则选择“保存所有文件信息”复选框。
   • 如果您希望 Kaspersky Endpoint Security 只记录有关特定格式文件的信息，请在“文件格式筛选”区域中选择相关文件格式对应的复选框。
8. 指定必须记录为事件的 Kaspersky Endpoint Security 用户操作。为此，请执行下列操作：
   1. 在“用户”区域，单击“选择”按钮。

      Microsoft Windows 中将开启标准“选择用户或组”窗口。

   2. 指定或编辑用户和用户组列表。

   “用户”区域中指定的用户在可移动磁盘驱动器上写入文件或删除文件时，Kaspersky Endpoint Security 会将此类操作的信息写入事件日志并将消息发送至 Kaspersky Security Center 管理服务器。

9. 在“日志记录设置”窗口中，单击“确定”。
10. 要保存更改，请单击“保存”按钮。

您可以在 Kaspersky Security Center 管理控制台中查看移动驱动器上与文件关联的事件，其位于事件选项卡上管理服务器节点的工作区中。要使事件显示在本地 Kaspersky Endpoint Security 事件日志中，您必须选择“设备控制”组件的通知设置中的已执行文件操作复选框。