Данные в полях событий Windows Event Log программы Kaspersky Endpoint Agent
Данные о событиях Журнала событий Windows хранятся в файле %SystemRoot%\System32\Winevt\Logs\Kaspersky-Security-Soyuz%4Product.evtx в открытом незашифрованном виде. Данные хранятся до удаления Kaspersky Endpoint Agent.
Эти данные могут автоматически передаваться в Kaspersky Security Center, но не передаются в Kaspersky Sandbox.
По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к этой папке и ее файлам. Доступ определяет системный администратор.
Данные о событиях могут содержать следующую информацию:
О пользовательских сессиях в операционной системе.
Об учетных записях пользователей операционной системы (userID).
Об ошибках выполнения задач проверки объектов.
О задачах на проверку объектов.
Об обнаружениях Kaspersky Sandbox.
О событиях Kaspersky Sandbox.
Об IOC-файлах Kaspersky Endpoint Agent, сформированных при автоматическом реагировании.
О результатах проверки объектов.
О сертификатах серверов Kaspersky Sandbox.
Об очереди объектов на проверку.
Об изменении параметров Kaspersky Endpoint Agent.
Об изменении политик Kaspersky Security Center.
Об изменении статуса задачи на проверку объектов.
О политиках Kaspersky Security Center.
Об объектах на карантине.
О действиях по автоматическому реагированию на обнаруженные угрозы.
Об ошибках взаимодействия с серверами программы.
Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.