事件和报告
2022年1月20日
ID 195337
事件
任何 Kaspersky Endpoint Security 操作都生成事件。应用程序管理员可以通过使用查询系统查看这些事件。
Kaspersky Endpoint Security 以下列方式通知用户新事件:
- 如果 Kaspersky Endpoint Security 由 Kaspersky Security Center 管理,则有关事件的信息可能会传输到 Kaspersky Security Center 管理服务器。Kaspersky Endpoint Security 管理员可以配置从应用程序接收到事件时的电子邮件通知或脚本执行。有关在 Kaspersky Security Center 中管理报告的更多详细信息,请参阅 Kaspersky Security Center 文档。
- 如果图形用户界面 (GUI) 被启用,事件信息可以在报告中和应用程序弹出窗口中查看。
- 通过使用到 Kaspersky Endpoint Security 事件存储的本地查询。应用程序管理员可以基于生成的事件写脚本。
要获取存储中所有事件的信息:
kesl-control -E --query|less
默认下,应用程序存储多达 500,000 个事件。您可以使用 less 命令在显示的事件列表中导航。
您可以使用查询系统查看特别事件。当您创建查询时,指定所需字段,选择比较操作符,设置所需值。值必须在单引号 (‘) 中指定,完成查询必须在双引号 (“) 中:
--query "<field> <comparison operator> '<value>' [and <field> <comparison operator> '<value>' *]"
事件例子: 以下是
|
查询例子: 通过 EventType 字段获取所有事件:
通过
获取 File_Monitoring 任务在指定时间点后产生的所有事件:
日期字段应该以 UNIX 时间戳系统(自 1970年1月 00:00:00 (UTC) 起经过的秒数)指定。 |
报告
有关每个 Kaspersky Endpoint Security 组件的操作、每个任务的性能以及应用程序的整体操作的信息均记录在报告中。
生成报告的方式有所不同,具体取决于应用程序设置和 Kaspersky Security Center 的使用:
- 所有报告均存储在本地应用程序事件存储中。事件存储位于常规应用程序设置
EventsStoragePath指定的目录中。默认情况下,Kaspersky Endpoint Security 在其中保存有关事件信息的数据库文件位于 /var/opt/kaspersky/kesl/events.db 中。需要 root 特权才能访问事件数据库。 - 如果 Kaspersky Endpoint Security 由 Kaspersky Security Center 管理,则有关事件的信息可能会传输到 Kaspersky Security Center 管理服务器。有关在 Kaspersky Security Center 中管理报告的更多详细信息,请参阅 Kaspersky Security Center 文档。
- 如果常规应用程序设置
UseSysLog=Yes,则有关事件的信息也会记录到 syslog 中。可能需要 root 特权才能访问 syslog。 - 在图形用户界面 (GUI) 中,仅当常规应用程序设置
UIReportsForRootOnly设置为“No”时,“报告”窗口才可用于非 root 用户。否则,“报告”窗口仅适用于 Root 用户。
报告可能包含以下用户数据:
- 操作系统用户的用户名和用户 ID
- 用户文件的路径
- Anti-Cryptor 任务扫描的远程计算机的 IP 地址
- 防火墙管理任务检查的网络数据包的发送者和接收者的 IP 地址
- 更新源的网址
- 常规应用程序设置
- 任务名称和设置