イベントの表示
イベントは、次の方法で表示できます:
- 製品のイベントログの場合。イベントログは、全般的な製品設定の
EventsStoragePath で指定されたディレクトリにあります。既定では、イベントに関する情報は、データベース /var/opt/kaspersky/kesl/private/storage/events.db に保存されます。イベントのデータベースにアクセスするには、root 権限が必要です。
- 製品の全般設定で、
UseSysLog 設定の値が Yes の場合、イベントデータは syslog にも書き込まれます。syslog にアクセスするには、root 権限が必要です。
kesl-control -W コマンドを使用して、現在の製品イベントの出力を有効にします。- Kaspersky Endpoint Security が Kaspersky Security Center によって管理されている場合、イベントに関する情報が Kaspersky Security Center 管理サーバーに送信される場合があります。特定のイベントには集約ルールが適用されます。アプリケーションの実行中に短時間で大量の同じタイプのイベントが作成された場合は、アプリケーションはイベント集約モードに切り替え、イベント設定の説明とともに集約された 1 つのイベントを Kaspersky Security Center に送信します。異なるイベントには、異なる集約ルールを使用することができます。管理者は、本製品からのイベント受信時、またはイベント通知のメール受信時に、スクリプトの実行を設定できます。イベントの詳細は、Kaspersky Security Center のヘルプを参照してください。
- グラフィカルユーザーインターフェイス(GUI)が有効になっている場合、イベントに関する情報は、レポートや製品のポップアップウィンドウで表示される場合があります。
イベントログ内のすべてのイベントに関する情報を取得するには、次のコマンドを実行します:
kesl-control -E --query|less
既定では、保存可能なイベントの数は最大で 500 000 です。less コマンドを使用して、表示されたイベントのリストを操作できます。
本製品のイベント保管領域のクエリシステムを使用すると、特定のイベントを表示できます。
クエリを作成する際には、必須フィールドを指定し、比較演算子を選択し、目的の値を指定します。値は一重引用符(')で、クエリ全体は二重引用符(")で指定する必要があります:
--query "<フィールド> <比較演算子> '<値>' [and <フィールド> <比較演算子> '<値>' *]"
日付の値は、UNIX 時間(1970 年 1 月 1 日 00 時 00 分 00 秒(UTC)から経過した秒数)または YYYY-MM-DD hh:mm:ss 形式で指定することができます。ユーザーは、ユーザーのローカルタイムゾーンで日付と時刻を指定し、アプリケーションは同じタイムゾーンでそれらを表示します。
|
ThreatDetected の例:
EventType=ThreatDetected
EventId=2671
Initiator=Product
Date=2020-04-30 17:17:17
DangerLevel=Critical
FileName=/root/eicar.com.txt
ObjectName=File
TaskName=File_Monitoring
RuntimeTaskId=2
TaskId=1
DetectName=EICAR-Test-File
TaskType=OAS
FileOwner=root
FileOwnerId=0
DetectCertainty=Sure
DetectType=Virware
DetectSource=Local
ObjectId=1
AccessUser=root
AccessUserId=0
|
|
クエリの例:
EventType フィールドですべてのイベントを取得します:
kesl-control -E --query "EventType == 'ThreatDetected'"
EventType フィールドと FileName フィールドに指定された値を持つすべてのイベントを表示します:
kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"
UNIX™ タイム(1970 年 1 月 1 日 00:00:00(UTC)から経過した秒数)で指定された日付の後に File_Threat_Protection タスクで生成されたイベントを取得します:
kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"
YYYY-MM-DD hh:mm:ss 形式で指定した日付後、File_Threat_Protection タスクが生成したすべてのイベントを取得します:
kesl-control -E --query "TaskName == 'File_Threat_Protection' および日付 > '2022-11-22 18:42:54'"
|
ページのトップに戻る