查看事件
您可以通过以下方式查看事件:
- 在应用程序事件日志中。事件存储位于常规应用程序设置
EventsStoragePath
指定的目录中。默认情况下,应用程序将有关事件的信息保存到数据库 /var/opt/kaspersky/kesl/private/storage/events.db。需要 root 特权才能访问事件数据库。
- 在常规应用程序设置中,如果
UseSysLog
设置的值为 Yes
,则事件数据还会写入 syslog。访问 syslog 需要 root 特权。
- 使用
kesl-control -W
命令启用当前应用程序事件的输出。
- 如果 Kaspersky Endpoint Security 由 Kaspersky Security Center 管理,则有关事件的信息可能会传输到 Kaspersky Security Center 管理服务器。聚合规则适用于某些事件。如果在应用程序运行期间,短时间内生成大量相同类型的事件,则应用程序将切换到事件聚合模式,同时向 Kaspersky Security Center 发送一个聚合事件,并提供事件设置说明。不同的事件可以使用不同的聚合规则。管理员可以配置当收到来自应用程序的事件或通过电子邮件收到有关事件的通知时执行脚本。有关事件的更多详细信息,请参阅 Kaspersky Security Center 文档。
- 如果启用了图形用户界面 (GUI),则可以在报告和应用程序弹出窗口中查看有关事件的信息。
要获取有关事件日志中所有事件的信息,请运行以下命令:
kesl-control -E --query|less
默认下,应用程序存储多达 500,000 个事件。您可以使用 less
命令在显示的事件列表中导航。
您可以使用应用程序的事件存储查询系统查看特定的事件。
创建查询时,请指明必填字段,选择比较运算符,并指定所需的值。该值必须用单引号 (') 指定,整个查询必须用双引号 (") 指定:
--query "<
字段
> <
比较运算符
> '<
值
>' [and <
字段
> <
比较运算符
> '<
值
>' *]"
您可以指定 UNIX 时间(自 1970 年 1 月 1 日 00:00:00 (UTC) 以来经过的秒数)或 YYYY-MM-DD hh:mm:ss
格式的日期值。用户指定用户当地时区的日期和时间,应用程序以同一时区显示它们。
ThreatDetected 示例:
EventType=ThreatDetected
EventId=2671
Initiator=Product
Date=2020-04-30 17:17:17
DangerLevel=Critical
FileName=/root/eicar.com.txt
ObjectName=File
TaskName=File_Monitoring
RuntimeTaskId=2
TaskId=1
DetectName=EICAR-Test-File
TaskType=OAS
FileOwner=root
FileOwnerId=0
DetectCertainty=Sure
DetectType=Virware
DetectSource=Local
ObjectId=1
AccessUser=root
AccessUserId=0
|
查询例子:
通过 EventType 字段获取所有事件:
kesl-control -E --query "EventType == 'ThreatDetected'"
显示具有 EventType 和 FileName 字段的指定值的所有事件:
kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"
获取 File_Threat_Protection 任务在以 UNIX™ 时间(自 1970 年 1 月 00:00:00 (UTC) 起经过的秒数)指定的日期后生成的事件:
kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"
获取以 YYYY-MM-DD hh:mm:ss 格式指定的日期后 File_Threat_Protection 任务生成的所有事件:
kesl-control -E --query "TaskName == 'File_Threat_Protection' and Date > '2022-11-22 18:42:54'"
|
页面顶部