イベントの表示
イベントは、次の方法で表示できます:
- 製品のイベントログの場合。イベントログは、全般的な製品設定の
EventsStoragePath で指定されたディレクトリにあります。既定では、イベントに関する情報は、データベースディレクトリ /var/opt/kaspersky/kesl/private/storage/events.db に保存されます。イベントのデータベースにアクセスするには、root 権限が必要です。 - 製品の全般設定で、
UseSysLog 設定の値が Yes の場合、イベントデータは syslog にも書き込まれます。syslog にアクセスするには、root 権限が必要です。 kesl-control -W コマンドを使用して、現在の製品イベントの出力を有効にします。- Kaspersky Endpoint Security が Kaspersky Security Center によって管理されている場合、イベントに関する情報が Kaspersky Security Center 管理サーバーに送信される場合があります。同じ種別、同じ原因、同じ名前の 3 つのイベントが 1 分以内に作成された場合、製品はイベント集約モードに切り替わり、これらの繰り返されるイベントを記述して集約したイベントを 10 分ごとに Kaspersky Security Center に送信します。Kaspersky Endpoint Security 管理者は、本製品からのイベント受信時、またはイベント通知のメール受信時に、スクリプトの実行を設定できます。イベントの詳細は、Kaspersky Security Center のヘルプを参照してください。
- グラフィカルユーザーインターフェイス(GUI)が有効になっている場合、イベントに関する情報は、レポートや製品のポップアップウィンドウで表示される場合があります。
イベントログ内のすべてのイベントに関する情報を取得するには、次のコマンドを実行します:
kesl-control -E --query|less
既定では、保存可能なイベントの数は最大で 500 000 です。less コマンドを使用して、表示されたイベントのリストを操作できます。
本製品のイベント保管領域のクエリシステムを使用すると、特定のイベントを表示できます。
クエリを作成する時は、必須フィールドを指定し、論理式を選択して、それに必要な値を指定します。値は一重引用符(')で、クエリ全体は二重引用符(")で指定する必要があります:
--query "<フィールド> <論理式> '<値>' [and <フィールド> <論理式> '<値>' *]"
date フィールドは、UNIX タイムスタンプシステム(1970 年 1 月 1 日 00:00:00(UTC)から経過した秒数)で指定する必要があります。
ThreatDetected の例:
EventType=ThreatDetected
EventId=2671
Initiator=Product
Date=2020-04-30 17:17:17
DangerLevel=Critical
FileName=/root/eicar.com.txt
ObjectName=File
TaskName=File_Monitoring
RuntimeTaskId=2
TaskId=1
DetectName=EICAR-Test-File
TaskType=OAS
FileOwner=root
FileOwnerId=0
DetectCertainty=Sure
DetectType=Virware
DetectSource=Local
ObjectId=1
AccessUser=root
AccessUserId=0
|
クエリの例:
EventType フィールドですべてのイベントを取得します:
kesl-control -E --query "EventType == 'ThreatDetected'"
EventType フィールドと FileName フィールドに指定された値を持つすべてのイベントを表示します:
kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"
指定した時間後、ファイル脅威対策タスクによって生成されたすべてのイベントを表示します:
kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"
|
ページのトップに戻る