Просмотр событий и отчетов

В процессе работы приложения возникают различного рода события. Они могут иметь информационный характер или нести важную информацию. Например, с помощью события приложение может уведомлять об успешно выполненном обновлении баз приложения или может фиксировать ошибку в работе компонента, которую требуется устранить.

Kaspersky Endpoint Security позволяет вносить информацию о событиях, возникающих в работе приложения, в следующие журналы:

• Журнал событий приложения. По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kesl/private/storage/events.db. Вы можете настраивать параметры журнала событий приложения в командной строке.
• Журнал операционной системы (syslog). По умолчанию журнал операционной системы не используется. Вы можете включить запись событий в этот журнал.

Для доступа к журналу событий приложения и к журналу операционной системы требуются root-права.

Если управление приложением Kaspersky Endpoint Security осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Для некоторых событий действуют правила агрегирования. В случае, если за короткий промежуток времени в процессе работы приложения создается много событий одного типа, приложение переключается в режим агрегирования событий и отправляет в Kaspersky Security Center одно агрегированное событие с описанием параметров этих событий. Для разных событий могут использоваться разные правила агрегирования. Подробнее о событиях см. в справке Kaspersky Security Center.

Вы можете получать информацию о событиях приложения следующими способами:

• В Консоли администрирования и в Web Console.
• В командной строке.
• Если вы используете графический пользовательский интерфейс Kaspersky Endpoint Security – во всплывающих окнах приложения.

Некоторые события могут содержать пути к файлам. При выводе путь к файлу рассматривается как строка в кодировке UTF-8. В случае если какой-то из байт в пути не соответствует правилам кодирования UTF-8, то он заменяется на символ ?. Также на символ ? заменяется последовательность из четырех байт, кодирующая код символов, выходящих за пределы диапазона Unicode (больше 0x10FFFF). Специальные символы экранируются (заменяются) определенным образом.

Правила экранирования символов в путях к файлам в событиях при выводе по команде kesl-control -E --query:

• символы '\a', '\b', '\t', '\n', '\v', '\f', '\r' заменяются двумя символами следующим образом:

  '\a' -> "\\a"

  '\b' -> "\\b"

  '\t' -> "\\t"

  '\n' -> "\\n"

  '\v' -> "\\v"

  '\f' -> "\\f"

  '\r' -> "\\r"

• все прочие специальные символы выводятся без изменений.

Правила экранирования символов в путях к файлам в событиях при выводе по команде kesl-control -E --query --json:

• символы '\b', '\f', '\n', '\r', '\t', '"', '\\' экранируются, в соответствии с форматом JSON, следующим образом:

  '\b' -> "\\b"

  '\f' -> "\\f"

  '\n' -> "\\n"

  '\r' -> "\\r"

  '\t' -> "\\t"

  '"' -> "\\\""

  '\\' -> "\\\\"

• все прочие специальные символы экранируются в соответствии с общими правилами экранирования специальных символов для формата JSON ('\a' -> '\u0007').

Правила экранирования символов в путях к файлам в событиях при передаче в syslog:

• символы '\b', '\f', '\n', '\r', '\t', '"', '\\' экранируются, в соответствии с форматом JSON, следующим образом:

  '\b' -> "\\b"

  '\f' -> "\\f"

  '\n' -> "\\n"

  '\r' -> "\\r"

  '\t' -> "\\t"

  '"' -> "\\\""

  '\\' -> "\\\\"

• все прочие специальные символы экранируются в соответствии с общими правилами экранирования специальных символов для формата JSON ('\a' -> '\u0007').

Первый обратный слеш в последовательности при описании правил – это символ экранирования.

Примеры: '\a' – это один символ (управляющий); '\\a' – это два символа (обратный слеш + символ а); '\\' – это один символ (обратный слеш), '\\\\' – это два символа (обратный слеш + обратный слеш).

На основе событий, происходящих во время работы приложения, можно формировать различные отчеты. В отчеты записываются информация о работе каждого компонента приложения Kaspersky Endpoint Security и результаты выполнения каждой задачи и работы всего приложения в целом.

Вы можете просматривать отчеты следующими способами:

• В Консоли администрирования и в Web Console доступны отчеты Kaspersky Security Center. С их помощью вы можете, например, получить сведения о зараженных файлах, использовании ключей и баз приложения. Подробную информацию о работе с отчетами Kaspersky Security Center см. в справке Kaspersky Security Center.
• В графическом пользовательском интерфейсе Kaspersky Endpoint Security доступны отчеты приложения.

В событиях и отчетах могут содержаться следующие персональные данные:

• имена и идентификаторы пользователей в операционной системе;
• пути к файлам пользователя;
• IP-адреса удаленных устройств, проверяемых компонентом Защита от шифрования;
• IP-адреса отправителей и получателей сетевых пакетов, проверяемых компонентом Управление сетевым экраном;
• веб-адреса источников обновлений;
• значения общих параметров приложения;
• имена и параметры задач командной строки;
• обнаруженные вредоносные, фишинговые, рекламные веб-адреса и веб-адреса, содержащие легальные приложения, которые злоумышленники могут использовать для нанесения вреда устройствам или данным;
• названия контейнеров и образов;
• пути к контейнерам и образам;
• названия и идентификаторы устройств;
• веб-адреса репозиториев;
• имена файлов, пути к файлам и хеш-суммы исполняемых файлов приложений;
• названия категорий приложений.

В этом разделе справки Настройка записи событий в журнал операционной системы Настройка параметров журнала событий приложения Просмотр событий в Kaspersky Security Center Просмотр событий в командной строке

В начало