Ereignisse anzeigen

Ereignisse können wie folgt angezeigt werden:

Im Ereignisprotokoll des Programms. Das Ereignisprotokoll befindet sich in dem Verzeichnis, das in der allgemeinen Programmeinstellung EventsStoragePath angegeben ist. Standardmäßig speichert das Programm die Informationen über Ereignisse im Verzeichnis mit der Datenbank /var/opt/kaspersky/kesl/private/storage/events.db. Für den Zugriff auf die Ereignisdatenbank sind Root-Rechte erforderlich.
Wenn in den allgemeinen Programmeinstellungen der Parameter UseSysLog auf Yes steht, werden Ereignisdaten auch ins syslog geschrieben. Für den Zugriff auf syslog sind Root-Rechte erforderlich.
Aktivieren Sie die Ausgabe der aktuellen Ereignisse des Programms mit dem Befehl kesl-control -W.
Wenn Kaspersky Endpoint Security über Kaspersky Security Center verwaltet wird, werden möglicherweise Informationen zu Ereignissen an den Administrationsserver von Kaspersky Security Center übertragen. Wenn innerhalb einer Minute drei Ereignisse desselben Typs von einem Initiator mit demselben Namen erstellt werden, wechselt das Programm in den Modus der Ereignisaggregation und sendet alle 10 Minuten ein aggregiertes Ereignis samt einer Beschreibung dieser wiederkehrenden Ereignisse an Kaspersky Security Center. Der Administrator von Kaspersky Endpoint Security kann die Ausführung des Skripts beim Erhalt eines Ereignisses aus dem Programm oder beim Empfang von Ereignisbenachrichtigungen per E-Mail konfigurieren. Nähere Informationen über Ereignisse finden Sie in der Dokumentation zu Kaspersky Security Center.
Wenn die grafische Benutzeroberfläche (GUI) aktiviert ist, werden die Informationen über Ereignisse in den Berichten und Pop-ups des Programms angezeigt.

Um Informationen zu allen Ereignissen im Ereignisprotokoll abzurufen, führen Sie den folgenden Befehl aus:

kesl-control -E --query|less

Standardmäßig speichert das Programm bis zu 500.000 Ereignisse. Mit dem Befehl less können Sie durch die Liste der angezeigten Ereignisse navigieren.

Sie können das Abfragesystem für den Ereignisspeicher des Programms verwenden, um bestimmte Ereignisse anzuzeigen.

Wenn Sie eine Abfrage erstellen, müssen Sie das abzufragende Feld angeben, einen logischen Ausdruck wählen und den notwendigen Wert dafür eingeben. Dabei muss der Wert in einfachen Anführungszeichen(‘), die gesamte Abfrage in doppelten Anführungszeichen (") angegeben werden:

--query "<Feld> <logischer Ausdruck> '<Wert>' [and <Feld> <logischer Ausdruck> '<Wert>' *]"

Der Wert des Datums muss in Unixzeit angegeben werden (d. h. die Anzahl an Sekunden, die seit 00:00:00 (UTC), 1. Januar 1970 vergangen sind).

Beispiel für das Ereignis ThreatDetected:

EventType=ThreatDetected

EventId=2671

Initiator=Product

Date=2020-04-30 17:17:17

DangerLevel=Critical

FileName=/root/eicar.com.txt

ObjectName=File

TaskName=File_Monitoring

RuntimeTaskId=2

TaskId=1

DetectName=EICAR-Test-File

TaskType=OAS

FileOwner=root

FileOwnerId=0

DetectCertainty=Sure

DetectType=Virware

DetectSource=Local

ObjectId=1

AccessUser=root

AccessUserId=0

Beispiele für Abfragen:

Gibt alle Ereignisse unter Verwendung des "EventType"-Feldes zurück:

kesl-control -E --query "EventType == 'ThreatDetected'"

Gibt alle Ereignisse mit den entsprechenden Werten in den Feldern "EventType" und "FileName" zurück:

kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"

Gibt alle von der Aufgabe "File_Threat_Protection" nach einem bestimmtem Zeitpunkt erzeugten Ereignisse zurück:

kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"

Nach oben