Consultation des événements

Vous pouvez consulter les événements d'une des manières suivantes :

• Dans le journal des événements de l'application. Le journal des événements se trouve dans le répertoire spécifié par le paramètre d'application général EventsStoragePath. Par défaut, l'application enregistre les informations relatives aux événements dans le répertoire de la base de données /var/opt/kaspersky/kesl/private/storage/events.db. L'accès à la base de données des événements requiert les privilèges root.
• Si la valeur Yes est attribuée au paramètre UseSysLog dans les paramètres généraux de l'application, les données relatives aux événements sont enregistrées dans syslog. L'accès à syslog requiert les privilèges root.
• Activer l'affichage des événements en cours de l'application à l'aide de la commande kesl-control -W.
• Si Kaspersky Endpoint Security est administré par Kaspersky Security Center, les informations sur les événements peuvent être transmises au Serveur d'administration de Kaspersky Security Center. Si trois événements de même type sont créés en l'espace d'une minute à partir du même initiateur et avec le même nom, l'application passe au mode d'ajout d'événements et envoie à Kaspersky Security Center une fois toutes les dix minutes un groupe d'événements avec la description des événements répétitifs. L'administrateur de Kaspersky Endpoint Security peut configurer l'exécution du script à la réception d'un événement depuis l'application ou à la réception d'une notification par email sur les événements. Pour en savoir plus sur les événements, reportez-vous à la documentation de Kaspersky Security Center.
• Si l'interface utilisateur graphique est activée, des informations sur les événements peuvent apparaître dans les rapports et dans les fenêtres contextuelles de l'application.

Pour obtenir des informations sur tous les événements dans le journal des événements, exécutez la commande suivante :

kesl-control -E --query|less

Par défaut, l'application stocke jusqu'à 500 000 événements. Vous pouvez utiliser la commande less pour parcourir la liste des événements affichés.

Vous pouvez consulter certains événements concrets à l'aide du système d'interrogation du stockage d'événements de l'application.

Lorsque vous créez une requête, il faut remplir les champs requis, sélectionner l'expression logique et définir la valeur requise pour celle-ci. La valeur doit être spécifiée entre guillemets simples ('), tandis que la requête entière doit figurer entre guillemets doubles (") :

--query "<champ> <expression logique> '<valeur>' [and <champ> <expression logique> '<valeur>' *]"

La date doit être renseignée dans le système d'horodatage Unix (le nombre de secondes qui se sont écoulées depuis 00:00:00 (UTC), 1er janvier 1970).

Exemple d'événement ThreatDetected : EventType=ThreatDetected EventId=2671 Initiator=Product Date=2020-04-30 17:17:17 DangerLevel=Critical FileName=/root/eicar.com.txt ObjectName=File TaskName=File_Monitoring RuntimeTaskId=2 TaskId=1 DetectName=EICAR-Test-File TaskType=OAS FileOwner=root FileOwnerId=0 DetectCertainty=Sure DetectType=Virware DetectSource=Local ObjectId=1 AccessUser=root AccessUserId=0

Exemples de requêtes: Obtenez tous les événements selon le champ EventType : kesl-control -E --query "EventType == 'ThreatDetected'" Obtenez tous les événements selon les champs EventType et FileName : kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'" Obtenez tous les événements produits selon la tâche File_Threat_Protection après le moment spécifié : kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"

Haut de page