如果有必要,您可以查看该文件是否已在 Kaspersky Anti Targeted Attack Platform 中扫描,以及扫描结果是什么。为此,您必须使用 kata-collect 脚本获取有关应用程序操作的信息。
要使用 kata-collect 脚本获取有关应用程序性能的信息:
按照“下载 Kaspersky Anti Targeted Attack Platform 日志”部分给出的说明的步骤进行操作。
完成说明的步骤后,包含 Kaspersky Anti Targeted Attack Platform 日志文件的 collect--<存档下载日期>.tar.gz 存档被放置在指定目录中。接收并扫描的文件信息包含在日志中,该日志位于此存档内的 /logs/kaspersky/siem/log-history/ 目录中。如果某个文件被排除在扫描之外,则有关该文件的信息也会反映在日志中。
您可以通过名称或 MD5 哈希值找到任何文件。
如果该文件是由 Sensor 组件获取的,您可以通过以下字段找到它:
文件信息日志记录的特殊注意事项
在日志中搜索文件信息时,请牢记以下有关文件信息日志记录的特殊注意事项:
文件 MD5 哈希值的 apt-history 日志记录示例
下表列出了文件 MD5 哈希值的 apt-history 日志记录示例。
文件 MD5 哈希值的 apt-history 日志记录示例
日志记录 |
值 |
2024-06-11 02:37:03.645586 info apt-history: f0429d4845208857cd303df968ef545e enqueued am, priority: normal |
该文件已被接收并利用反恶意软件引擎技术进行处理。 |
2024-06-11 02:37:03.647434 info apt-history: external KSMG sensor with ip 10.0.0.0 provide file with name: File_Name 2024/2025, md5: f0429d4845208857cd303df968ef545e, msg_id: <87c13e55e789aa966089b6bf2e8c453b@localhost.localdomain> |
从 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux Mail Server 接收并在 Kaspersky Anti Targeted Attack Platform 中处理的对象的字符串。 值得关注的信息:
|
2024-06-11 02:37:03.847696 info apt-history: f0429d4845208857cd303df968ef545e engine am result {verdict: CLEAN, bases_version: 202406071010, detect_time: 2024-06-11 02:37:03.841275, rescan_priority: 3, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, multitask_details: {priority: background, tasks: {pdf: 1}}, scanEngines: [sb]} |
使用反恶意软件引擎技术处理对象的结果。包括扫描后分配给对象的状态 (CLEAN) 以及有关将用于额外扫描对象的技术的信息 (“scanEngines: [sb]”)。 值得关注的信息:
|
2024-06-11 02:37:03.886784 info apt-history: f0429d4845208857cd303df968ef545e enqueued sb: {pdf: 1}, priority: low, sb_priority: background |
该任务已发送到 Sandbox 组件进行处理。 值得关注的信息:
|
2024-06-11 02:37:04.179597 info apt-history: f0429d4845208857cd303df968ef545e delivered to sb, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900 |
该任务已发送到 Sandbox 组件进行处理。 值得关注的信息:
|
2024-06-11 02:38:44.515070 info apt-history: f0429d4845208857cd303df968ef545e sb result received, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900, priority: low |
已收到 Sandbox 组件处理对象的结果。 |
2024-06-11 02:38:44.783370 info apt-history: f0429d4845208857cd303df968ef545e engine sb result {bases_version: 202406102122, detect_time: 2024-06-11 02:38:44.776655, verdict: SILENT, hidden: True, details: [{file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, images: [{verdicts_info: {ScannerVersion: 1.22.3.34, ...}, hidden: True, verdict: SILENT, sb_id: fb15ec106318b0d54babce2379d956f7, image: Win7_x64, task_id: task0, file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, file_id: 1, filesize: 445856, md5: 0d87eebc9676214f35046a482150e537, tracing_mode: all_events, store_artifacts: False, bases_version: 202406102122, ids_bases_version: 202406101817, version: 1.22.3.34, suspicious_log: [], network_activity: {http: [], dns: []}}], verdict: SILENT, hidden: True, priority: 150}], md5_list: [], file_list: [], sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, sb_names_map: {0: {md5: , name: }, 1: {md5: 0d87eebc9676214f35046a482150e537, name: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf}, 2: {md5: 71072dd9a36d7ce560cebc533ecb3cad, name: }}} |
Sandbox 组件对所有虚拟机上的对象进行处理的结果。 值得关注的信息:
|
2024-06-11 02:38:44.841529 info apt-history: New sb_detect for file alert: {id: 2720, victim: default, state: new, md5: f0429d4845208857cd303df968ef545e} |
Sandbox 组件处理结果的信息保存在应用程序数据库中。记录以供内部使用。这并不表示应用程序的检测数据库中存在检测。 |