查看事件

您可以通过以下方式查看事件:

要获取有关事件日志中所有事件的信息,请运行以下命令:

kesl-control -E --query|less

默认下,应用程序存储多达 500,000 个事件。您可以使用 less 命令在显示的事件列表中导航。

您可以使用应用程序的事件存储查询系统查看特定的事件。

创建查询时,请指明必填字段,选择比较运算符,并指定所需的值。该值必须用单引号 (') 指定,整个查询必须用双引号 (") 指定:

--query "<字段> <比较运算符> '<>' [and <字段> <比较运算符> '<>' *]"

您可以指定 UNIX 时间(自 1970 年 1 月 1 日 00:00:00 (UTC) 以来经过的秒数)或 YYYY-MM-DD hh:mm:ss 格式的日期值。用户指定用户当地时区的日期和时间,应用程序以同一时区显示它们。

ThreatDetected 示例:

EventType=ThreatDetected

EventId=2671

Initiator=Product

Date=2020-04-30 17:17:17

DangerLevel=Critical

FileName=/root/eicar.com.txt

ObjectName=File

TaskName=File_Monitoring

RuntimeTaskId=2

TaskId=1

DetectName=EICAR-Test-File

TaskType=OAS

FileOwner=root

FileOwnerId=0

DetectCertainty=Sure

DetectType=Virware

DetectSource=Local

ObjectId=1

AccessUser=root

AccessUserId=0

查询例子:

通过 EventType 字段获取所有事件:

kesl-control -E --query "EventType == 'ThreatDetected'"

显示具有 EventType 和 FileName 字段的指定值的所有事件:

kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"

获取 File_Threat_Protection 任务在以 UNIX™ 时间(自 1970 年 1 月 00:00:00 (UTC) 起经过的秒数)指定的日期后生成的事件:

kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"

获取以 YYYY-MM-DD hh:mm:ss 格式指定的日期后 File_Threat_Protection 任务生成的所有事件:

kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '2022-11-22 18:42:54'"

页面顶部