有关“系统事件日志”事件的信息

显示系统事件日志事件信息的窗口包含以下详细信息：

• 事件树。
• 事件处理建议。
• 系统事件日志部分：
  • IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

    单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。

    MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。

    如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。

  • 事件时间 — 检测到事件的时间。
  • 安全事件 ID — Windows 日志中安全事件类型的标识符。

  如果事件由 Kaspersky Endpoint Security for Linux 记录在事件数据库中，则系统事件日志部分还包括以下字段：

  • 事件类型 — 事件的类型。
  • 操作结果— 例如，成功或者已失败。
• 事件数据部分包含系统日志信息。数据范围取决于 Windows 事件的类型。

  事件数据部分不显示在由 Kaspersky Endpoint Agent for Linux 记录到事件数据库的事件的信息中。

• 事件发起者部分：
  • 文件 — 进程文件名。
  • 进程 ID — 进程标识符。
  • 命令 — 用于运行父进程的命令。
  • 环境变量 — 进程的环境变量。
  • 真实用户名 — 在系统中注册时指定的用户名称。
  • 真实组名称 — 用户所属的组。

  事件发起者部分不显示在由 Kaspersky Endpoint Agent for Windows 或 Kaspersky Endpoint Security for Windows 记录到事件数据库的事件信息中。

• 系统信息部分：
  • 主机名称 — 发生事件的主机的名称。
  • 主机 IP — 在其上事件发生的主机的 IP 地址。

    如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。

    该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。

  • 用户名称 — 启动了进程的用户的名称，该进程启动了系统日志记录。
  • 操作系统版本 — 主机上正在使用的操作系统的版本。

    Kaspersky Endpoint Security for Linux 记录到事件数据库的事件信息还包括从远程主机登录字段，即从其执行远程登录的主机的名称。

在事件数据库中记录的 Kaspersky Endpoint Security for Linux 事件信息中，您可以单击带有文件名或文件路径的链接来打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行获取文件任务。
• 复制值到剪贴板。

单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 获取数据 → 文件、取证、磁盘镜像、内存转储。
  • 杀死进程。
  • 删除文件。
  • 隔离文件。
  • 运行应用程序。
• 复制值到剪贴板。

在事件数据库中记录的 Kaspersky Endpoint Security for Linux事件信息中，您可以单击主机名链接打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 获取文件。
  • 运行应用程序。
• 复制值到剪贴板。

另请参阅 事件信息 事件处理建议 有关事件树中事件的信息 查看事件表 配置事件表显示 查看有关事件的信息 有关“进程已启动”事件的信息 有关“进程已终止”事件的信息 有关“模块已加载”事件的信息 有关“远程连接”事件的信息 “防御规则”事件信息 有关“文档被阻止”事件的信息 有关“文件已修改”事件的信息 有关“注册表更改”事件的信息 有关“端口被侦听”事件的信息 有关“驱动程序已加载”事件的信息 有关“警报”事件的信息 有关“警报处理结果”事件的信息 有关“被解释文件运行”事件的信息 有关“AMSI 扫描”事件的信息 有关“在控制台进行交互式命令输入”事件的信息

页面顶部