イベントの概要
Kaspersky Endpoint Security の全動作に対してイベントが生成されます。製品管理者は、クエリシステムを使用してこれらのイベントを表示できます。
新しいイベントは次の方法でユーザーに通知されます:
- Kaspersky Endpoint Security が Kaspersky Security Center によって管理されている場合、イベントに関する情報が Kaspersky Security Center 管理サーバーに送信される場合があります。Kaspersky Endpoint Security の管理者は、製品からイベントを受信する時のメール通知またはスクリプト実行を設定できます。Kaspersky Security Center でのレポートの管理のに関する詳細については、Kaspersky Security Center のヘルプを参照してください。
- グラフィカルユーザーインターフェイス(GUI)が有効になっている場合は、イベントに関する情報がレポートおよび製品のポップアップで表示される場合があります。
- Kaspersky Endpoint Security イベント保管領域へのローカルクエリを使用することで通知されます。製品管理者は、生成されたイベントに基づいてスクリプトを作成できます。
保管領域内のすべてのイベントに関する情報を取得するには:
kesl-control -E --query|less
既定では、保存可能なイベントの数は最大で 500,000 です。less
コマンドを使用して、表示されたイベントのリストを操作できます。
クエリシステムを使用して、特定のイベントを表示できます。クエリを作成する時は、必須フィールドを指定し、比較演算子を選択して、それに必要な値を設定します。値は一重引用符(')で指定し、クエリ全体は二重引用符(")で囲む必要があります:
--query "<フィールド> <比較演算子> '<値>' [and <フィールド> <比較演算子> '<値>' *]"
イベントの例:
以下は、ThreatDetected イベントの例です:
EventType=ThreatDetected
EventId=2671
Initiator=Product
Date=2020-04-30 17:17:17
DangerLevel=Critical
FileName=/root/eicar.com.txt
ObjectName=File
TaskName=File_Monitoring
RuntimeTaskId=2
TaskId=1
DetectName=EICAR-Test-File
TaskType=OAS
FileOwner=root
FileOwnerId=0
DetectCertainty=Sure
DetectType=Virware
DetectSource=Local
ObjectId=1
AccessUser=root
AccessUserId=0
|
クエリの例:
EventType フィールドですべてのイベントを取得します:
kesl-control -E --query "EventType == 'ThreatDetected'"
EventType フィールドおよび FileName like フィールドですべてのイベントを取得します:
kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"
指定された時間の後に File_Monitoring タスクによって生成されたすべてのイベントを取得します:
kesl-control -E --query "TaskName == 'File_Monitoring' and Date > '1588253494'"
Date フィールドは、UNIX タイムスタンプシステム(1970 年 1 月 1 日 00:00:00(UTC)から経過した秒数)で指定する必要があります。
|
ページのトップに戻る