О событиях

При выполнении любых действий в программе Kaspersky Endpoint Security формируются события. Администратор программы может просматривать эти события с помощью системы запросов.

Kaspersky Endpoint Security уведомляет пользователей о новых событиях следующими способами:

Если управление программой Kaspersky Endpoint Security осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Администратор Kaspersky Endpoint Security может настроить получение уведомлений по электронной почте или выполнение скрипта при получении события из программы. Дополнительная информация об управлении отчетами в Kaspersky Security Center приведена в документации Kaspersky Security Center.
Если включен графический пользовательский интерфейс (GUI), информацию о событиях можно просматривать в отчетах и во всплывающих окнах программы.
С помощью локальных запросов к хранилищу событий Kaspersky Endpoint Security. Администратор программы может создавать скрипты на основе сформированных событий.

Получить информацию обо всех событиях в хранилище:

kesl-control -E --query|less

По умолчанию в программе хранится до 500 000 событий. С помощью команды less можно выполнять переход по списку отображаемых событий.

С помощью системы запросов можно просматривать конкретные события. При создании запроса укажите необходимое поле, выберите оператор сравнения и установите для него требуемое значение. Значение должно быть указано в одинарных кавычках (‘), а запрос целиком – в двойных кавычках ("):

--query "<поле> <оператор сравнения> '<значение>' [and <поле> <оператор сравнения> '<значение>' *]"

Пример события:

Ниже приведен пример события ThreatDetected:

EventType=ThreatDetected

EventId=2671

Initiator=Product

Date=2020-04-30 17:17:17

DangerLevel=Critical

FileName=/root/eicar.com.txt

ObjectName=File

TaskName=File_Monitoring

RuntimeTaskId=2

TaskId=1

DetectName=EICAR-Test-File

TaskType=OAS

FileOwner=root

FileOwnerId=0

DetectCertainty=Sure

DetectType=Virware

DetectSource=Local

ObjectId=1

AccessUser=root

AccessUserId=0

Примеры запросов:

Вывести все события с заданным значением поля EventType:

kesl-control -E --query "EventType == 'ThreatDetected'"

Вывести все события с заданными значениями полей EventType и FileName like:

kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"

Вывести все события, сформированные задачей File_Monitoring после указанного момента:

kesl-control -E --query "TaskName == 'File_Monitoring' and Date > '1588253494'"

Значение даты необходимо указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года).

В начало