配置 Kaspersky Anti Targeted Attack Platform 系統日誌和警示的保留期

您可以配置 Central Node 元件資料庫中部分日誌和警示資料的保留時間，以及 Sensor 和 Sandbox 日誌的保留時間。預設情況下，當某項特定技術的警示數量達到 1000000 時，Central Node 資料庫中的警示資料就會輪替。日誌的預設保留期為 90 天。

您可以在 Central Node 或 Sensor 元件的管理員選單中設定 Central Node 和 Sensor 元件的日誌保留。您可以使用作業系統的標準工具來設定 Sandbox 日誌的保留。

您可以配置以下日誌的保留期：

• Central Node 或 Sensor：
  • Syslog。
  • user_actions.log，Web 介面中使用者操作的日誌。
  • kern.log，作業系統的核心事件日誌。
  • auth.log，Web 介面和元件管理員選單中使用者授權的日誌。
• Sandbox：
  • apt-history.log，更新日誌。
  • apt-audit.log，系統事件稽核日誌。
  • user_actions.log，Web 介面中使用者操作的日誌。
  • auth.log，Web 介面和元件管理員選單中使用者授權的日誌。

要配置Central Node 或 Sensor 日誌的保留期，以及 Central Node 資料庫中警示資料的保留期：

1. 如果要配置 Central Node 元件資料庫中日誌和警示資料的保留期，請使用 SSH 或終端登入 Central Node 伺服器的管理主控台。
2. 如果要配置 Sensor 日誌的保留期，請使用 SSH 或終端登入 Sensor 伺服器的管理主控台。
3. 系統提示時，請輸入管理員使用者名稱和安裝元件期間指定的密碼。

   顯示應用程式元件管理員功能表。

4. 選擇“程式設定”。
5. 按 ENTER 鍵。

   這將開啟“選擇操作”視窗。

6. 選擇“配置偵測和日誌的儲存期限”。
7. 按 ENTER 鍵。

   這將開啟“配置儲存期限”視窗。

8. 選擇“變更儲存期限”。

   這將開啟“儲存期限”視窗。

9. 在“儲存期限”欄位中，指定日誌保留期限（以天為單位）。您可以指定的最大日誌保留期限為 10000 天。

   預設值為 90。

10. 選擇“套用變更”。

    這將開啟“套用儲存期限”視窗。

11. 在顯示的視窗中，選擇“確定”。

Central Node 或 Sensor 日誌的保留期以及警示資料的保留期（當 Central Node 設定發生變更時）已配置。

要變更 Sandbox 日誌的保留期：

1. 如果要變更 apt-audit.log、apt-history.log、user-actions.log 日誌的保留期，請以 root 身分開啟 /etc/logrotate.d/apt-audit 檔案進行編輯，並變更相關日誌的“rotate”設定。
2. 如果要變更 auth.log 的保留期，請以 root 身分開啟 /etc/logrotate.d/auth 檔案進行編輯，並變更“rotate”設定。

   您可以指定的最大日誌保留期限為 10000 天。預設情況下，日誌保留期為 90 天。

已配置 Sandbox 日誌的保留期限。

頁面頂部