通过管理插件添加日志审查规则

执行以下操作可添加和配置新的自定义日志审查规则：

1. 展开 Kaspersky Security Center 管理控制台树中的“受管理设备”节点。
2. 选择要为其配置应用程序设置的管理组。
3. 在选定的管理组的详细窗格中执行以下操作之一：
   • 要为一组受保护设备配置应用程序设置，请选择“策略”选项卡，然后打开“属性：<策略名称>”窗口。
   • 要为单台受保护设备配置应用程序，请选择“设备”选项卡，然后打开“应用程序设置”窗口。

     如果某个活动 Kaspersky Security Center 策略已应用于设备，并且该策略阻止对应用程序设置的更改，则无法在“应用程序设置”窗口中编辑这些设置。

4. 在“系统审查”部分中，单击“日志审查”子部分中的“设置”按钮。

   将打开“日志审查”窗口。

5. 在“自定义规则”选项卡上，选中或清除“应用日志审查的自定义规则”选项卡。
   

   如果选中该复选框，则 Kaspersky Embedded Systems Security 将根据规则设置应用自定义“日志审查”规则。您可以添加、删除或配置日志审查规则。

   如果清除该复选框，则不能添加或修改自定义规则。Kaspersky Embedded Systems Security 将应用默认规则设置。

   默认取消选中该复选框。只有应用程序弹出检测规则处于活动状态。

   可以控制是否对日志审查应用预设的规则。选择您要对日志审查应用的规则所对应的复选框。

6. 要添加新的自定义规则，请单击“添加”按钮。

   将打开“自定义日志审查规则”窗口。

7. 在“常规”部分中，指定有关新规则的以下信息：
   • 规则名称
   • 当 Windows 事件日志中出现新条目时，如果在事件参数中发现指定的标识符(ID)，将触发规则
     

     选择要用作事件源进行分析的日志。以下 Windows 事件日记可用：应用程序、安全、系统。

     您可以在“当 Windows 事件日志中出现新条目时，如果在事件参数中发现指定的标识符(ID)，将触发规则”字段中输入日志名称来添加新的自定义日志。

8. 在“触发条件”部分中，指定将触发规则的事件 ID：
   1. 输入 ID。
   2. 单击“添加”按钮。

      输入的事件 ID 将添加到列表中。可以为每个规则添加无限数量的标识符。

9. 单击“确定”。

   日志审查规则即添加到规则列表中。