Вы можете просматривать события следующими способами:
В журнале событий программы. Журнал событий расположен в директории, указанной общим параметром программыEventsStoragePath. По умолчанию программа сохраняет информацию о событиях в директорию базы данных /var/opt/kaspersky/kesl/private/storage/events.db. Для доступа к базе данных событий требуются root-права.
Если в общих параметрах программы для параметра UseSysLog указано значение Yes, то данные о событиях также записываются в syslog. Для доступа к syslog требуются root-права.
Если управление программой Kaspersky Endpoint Security осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Если в течение минуты создается три события одного типа от одного инициатора и с одним названием, то программа переключается в режим агрегирования событий и один раз в 10 минут отправляет в Kaspersky Security Center одно агрегированное событие с описанием этих повторяющихся событий. Администратор Kaspersky Endpoint Security может настроить выполнение скрипта при получении события из программы или получение уведомлений о событиях по электронной почте. Подробную информацию о событиях см. в документации Kaspersky Security Center.
Если включен графический пользовательский интерфейс (GUI), информация о событиях отображается в отчетах и во всплывающих окнах программы.
Чтобы получить информацию обо всех событиях в журнале событий, выполните следующую команду:
kesl-control -E --query|less
По умолчанию в программе хранится до 500 000 событий. С помощью команды less вы можете перемещаться по списку отображаемых событий.
Вы можете просматривать конкретные события с помощью системы запросов к хранилищу событий программы.
При создании запроса требуется указать нужное поле, выбрать логическое выражение и установить для него нужное значение. Значение требуется указывать в одинарных кавычках (‘), а запрос целиком – в двойных кавычках ("):