Ereignisse und Berichte anzeigen

Während der Ausführung der App können unterschiedliche Ereignisse ausgelöst werden. Diese können rein informativ sein oder wichtige Informationen enthalten. Die App kann beispielsweise mithilfe von Ereignissen über erfolgreiche Updates der App-Datenbanken informieren oder auf eine Funktionsstörung einer Komponente hinweisen, die behoben werden muss.

Mit Kaspersky Endpoint Security können Sie Informationen über Ereignisse, die während der App-Ausführung auftreten, in die folgenden Protokolle eintragen:

• Ereignisprotokoll der App. Standardmäßig speichert die App die Informationen über Ereignisse in der Datenbank /var/opt/kaspersky/kesl/private/storage/events.db. Sie können die Einstellungen des Ereignisprotokolls der App über die Befehlszeile konfigurieren.
• Protokoll des Betriebssystems (Syslog). Standardmäßig wird das Protokoll des Betriebssystems nicht verwendet. Sie können die Ereignisprotokollierung in diesem Protokoll aktivieren.

Für den Zugriff auf das Ereignisprotokoll der App und das Protokoll des Betriebssystems sind Root-Rechte erforderlich.

Wenn Kaspersky Endpoint Security über Kaspersky Security Center verwaltet wird, werden möglicherweise Informationen zu Ereignissen an den Administrationsserver von Kaspersky Security Center übertragen. Für einige Ereignisse gelten Aggregationsregeln. Wenn während der Nutzung der App in kurzer Zeit viele Ereignisse desselben Typs generiert werden, wechselt die App in den Ereignisaggregationsmodus und sendet ein aggregiertes Ereignis mit einer Beschreibung der Parameter dieser Ereignisse an Kaspersky Security Center. Für unterschiedliche Ereignisse können unterschiedliche Aggregationsregeln verwendet werden. Nähere Informationen zu Ereignissen finden Sie in der Hilfe zu Kaspersky Security Center.

Sie können Informationen zu App-Ereignissen auf folgende Arten abrufen:

• In der Verwaltungskonsole und in der Web Console.
• Über die Befehlszeile.
• In Pop-ups der App, wenn Sie die grafische Benutzeroberfläche von Kaspersky Endpoint Security verwenden.

Einige Ereignisse können Dateipfade enthalten. Bei der Ausgabe wird der Dateipfad als String mit UTF-8-Encoding behandelt. Wenn eines der Bytes im Pfad nicht den Regeln des UTF-8-Encodings entspricht, wird es durch das Zeichen ? ersetzt. Durch das Symbol ? werden auch Abfolgen von vier Bytes ersetzt, die den Code von Zeichen außerhalb des Unicode-Bereichs (größer als 0x10FFFF) kodieren. Sonderzeichen werden auf eine bestimmte Weise maskiert (ersetzt).

Regeln für das Escape-Zeichen in Dateipfaden in Ereignissen, wenn diese mit dem Befehl kesl-control -E -query ausgegeben werden:

• Die Zeichen '\a', '\b', '\t', '\n', '\v', '\f', '\r' werden wie folgt durch zwei Zeichen ersetzt:

  '\a' -> "\\a"

  '\b' -> "\\b"

  '\t' -> "\\t"

  '\n' -> "\\n"

  '\v' -> "\\v"

  '\f' -> "\\f"

  '\r' -> "\\r"

• Alle weiteren Sonderzeichen werden unverändert ausgegeben.

Regeln für das Escape-Zeichen in Dateipfaden in Ereignissen, wenn diese mit dem Befehl kesl-control -E --query --json ausgegeben werden:

• Die Zeichen '\b', '\f', '\n', '\r', '\t' '"', '\\' werden entsprechend dem JSON-Format wie folgt maskiert:

  '\b' -> "\\b"

  '\f' -> "\\f"

  '\n' -> "\\n"

  '\r' -> "\\r"

  '\t' -> "\\t"

  '"' -> "\\\""

  '\\' -> "\\\\"

• Alle anderen Sonderzeichen werden entsprechend den allgemeinen Escape-Regeln für Sonderzeichen des JSON-Formats maskiert ('\a' -> '\u0007').

Regeln für Escape-Zeichen in Dateipfaden in Ereignissen beim der Übertragung an syslog:

• Die Zeichen '\b', '\f', '\n', '\r', '\t' '"', '\\' werden entsprechend dem JSON-Format wie folgt maskiert:

  '\b' -> "\\b"

  '\f' -> "\\f"

  '\n' -> "\\n"

  '\r' -> "\\r"

  '\t' -> "\\t"

  '"' -> "\\\""

  '\\' -> "\\\\"

• Alle anderen Sonderzeichen werden entsprechend den allgemeinen Escape-Regeln für Sonderzeichen des JSON-Formats maskiert ('\a' -> '\u0007').

Der erste Backslash in der Reihenfolge bei der Beschreibung von Regeln stellt jeweils ein Escape-Zeichen dar.

Beispiele: '\a' ist ein Zeichen (maskierter Buchstabe) '\\a' sind zwei Zeichen (Backslash + a) '\\' ist ein Zeichen (Backslash) – '\\\\' sind zwei Zeichen (Backslash + Backslash).

Auf Basis der Ereignisse, die während der Ausführung der App eintreten, können verschiedene Arten von Berichten erstellt werden. Informationen zur Ausführung jeder Komponente von Kaspersky Endpoint Security, zur Ausführung aller Aufgaben und zur allgemeinen Ausführung der App werden in Berichten aufgezeichnet.

Berichte können wie folgt angezeigt werden:

• Berichte von Kaspersky Security Center sind in der Verwaltungskonsole und in der Web Console verfügbar. Mit diesen Berichten können Sie z. B. Informationen über infizierte Dateien sowie die Verwendung von Schlüsseln und App-Datenbanken erhalten. Nähere Informationen über die Verwendung der Berichte von Kaspersky Security Center finden Sie in der Hilfe zu Kaspersky Security Center.
• App-Berichte sind in der grafischen Benutzeroberfläche von Kaspersky Endpoint Security verfügbar.

Ereignisse und Berichte können die folgenden persönlichen Daten enthalten:

• Namen und IDs der Benutzer im Betriebssystem
• Pfade der Benutzerdateien
• IP-Adressen der Remote-Geräte, die von der Komponente Schutz vor Verschlüsselung untersucht werden
• IP-Adressen der Sender und Empfänger der Netzwerkpakete, die von der Komponente Firewall-Verwaltung untersucht werden
• Webadressen der Update-Quellen
• Werte der allgemeinen App-Einstellungen
• Namen und Einstellungen von Befehlszeilenaufgaben
• Erkannte bösartige Webadressen, Phishing- und Adware-Adressen sowie Webadressen, die legale Anwendungen enthalten, mit der Kriminelle Ihre Geräte oder Ihre persönlichen Daten beschädigen können
• Namen der Container und Images
• Pfade zu den Containern und Images
• Namen und IDs der Geräte
• Webadressen von Repositories
• Dateinamen, Pfade der Dateien und Hash-Summen ausführbarer Dateien von Apps
• Namen der App-Kategorien

In diesem Hilfeabschnitt Protokollierung von Ereignissen im Protokoll des Betriebssystems konfigurieren Einstellungen des Ereignisprotokolls der App konfigurieren Ereignisse in Kaspersky Security Center anzeigen Ereignisse über die Befehlszeile anzeigen

Nach oben