Ereignisse

Alle Vorgänge von Kaspersky Endpoint Security generieren Ereignisse. Der Programmadministrator kann diese Ereignisse mithilfe des Abfragesystems anzeigen.

Kaspersky Endpoint Security benachrichtigt Benutzer über neue Ereignisse auf folgende Arten:

Wenn Kaspersky Endpoint Security über Kaspersky Security Center verwaltet wird, werden möglicherweise Informationen zu Ereignissen an den Administrationsserver von Kaspersky Security Center übertragen. Der Administrator von Kaspersky Endpoint Security kann für den Fall, dass das Programm ein Ereignis empfängt, Benachrichtigungen via E-Mail-Benachrichtigungen oder die Ausführung eines Skriptes einstellen. Nähere Informationen zur Verwaltung von Berichten in Kaspersky Security Center finden Sie in der Dokumentation zu Kaspersky Security Center.
Wenn die grafische Benutzeroberfläche (GUI) aktiviert ist, können die Informationen über Ereignisse in den Berichten und Pop-ups des Programms angezeigt werden.
Unter Verwendung der lokalen Abfrage des Ereignisspeichers von Kaspersky Endpoint Security. Der Programmadministrator kann Skripte auf Grundlage der generierten Ereignisse erstellen.

Bei der Abfrage von Informationen zu allen Ereignissen im Speicher:

kesl-control -E --query|less

Standardmäßig speichert das Programm bis zu 500 000 Ereignisse. Mit dem less-Befehl können Sie durch die Liste der angezeigten Ereignisse navigieren.

Sie können das Abfragesystem verwenden, um bestimmte Ereignisse anzuzeigen. Wenn Sie eine Abfrage erstellen, spezifizieren Sie das abzufragende Feld, wählen Sie den Vergleichsoperator und geben Sie den notwendigen Wert dafür ein. Der Wert muss dabei in einfachen Anführungszeichen angegeben werden (‘), und die gesamte Abfrage in doppelten Anführungszeichen (“):

--query "<Feld> <Vergleichsoperator> '<Wert>' [and <Feld> <Vergleichsoperator> '<Wert>' *]"

Beispiel für ein Ereignis:

Es folgt ein Beispielereignis vom Typ ThreatDetected:

EventType=ThreatDetected

EventId=2671

Initiator=Product

Date=2020-04-30 17:17:17

DangerLevel=Critical

FileName=/root/eicar.com.txt

ObjectName=File

TaskName=File_Monitoring

RuntimeTaskId=2

TaskId=1

DetectName=EICAR-Test-File

TaskType=OAS

FileOwner=root

FileOwnerId=0

DetectCertainty=Sure

DetectType=Virware

DetectSource=Local

ObjectId=1

AccessUser=root

AccessUserId=0

Beispiele für Abfragen:

Gibt alle Ereignisse unter Verwendung des "EventType"-Feldes zurück:

kesl-control -E --query "EventType == 'ThreatDetected'"

Gibt alle Ereignisse unter Verwendung der EventType- und FileName like-Felder zurück:

kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"

Gibt alle von der Aufgabe "File_Monitoring" nach einem bestimmtem Zeitpunkt erzeugten Ereignisse zurück:

kesl-control -E --query "TaskName == 'File_Monitoring' and Date > '1588253494'"

Der Wert des "Date"-Feldes muss in Unixzeit angegeben werden (d. h. die Anzahl an Sekunden, die seit 00:00:00 (UTC), 1. Januar 1970 vergangen sind).

Nach oben