Добавление правил анализа журналов с помощью Консоли программы

Чтобы добавить и настроить пользовательское правило анализа журналов, выполните следующие действия:

1. В дереве Консоли программы разверните узел Диагностика системы.
2. Выберите вложенный узел Анализ журналов.
3. В панели результатов узла Анализ журналов перейдите по ссылке Правила анализа журналов.
4. Откроется окно Правила анализа журналов.
5. Снимите или установите флажок Применять пользовательские правила для анализа журналов. Настроенные параметры правил не применяются, если флажок снят.
   

   Если этот флажок установлен, Kaspersky Embedded Systems Security для Windows применяет пользовательские правила анализа журналов в соответствии с параметрами правил. Вы можете добавлять, удалять или изменять правила анализа журналов.

   Если флажок снят, нельзя добавлять или изменять пользовательские правила. Kaspersky Embedded Systems Security для Windows применяет параметры правил по умолчанию.

   По умолчанию флажок снят. Активно только правило обнаружения всплывающих окон программ.

   Вы можете контролировать применение стандартных правил в задаче Анализ журналов. Установите флажки напротив правил, которые вы хотите применять для анализа журналов.

6. Чтобы создать пользовательское правило, выполните следующие действия:
   1. Введите имя нового правила.
   2. Нажмите на кнопку Добавить.

      Созданное правило добавится в общий список правил.

7. Чтобы настроить правило, выполните следующие действия:
   1. Выберите правило в списке.

      В правой области окна на закладке Комментарий отобразится общая информация о правиле.

      Комментарии для нового правила пусты.

   2. Выберите закладку Параметры правила.
8. В разделе Общие укажите следующие данные нового правила:
   • Имя правила
   • Имя журнала
     

     Выберите журнал, события которого будут использоваться для анализа. Доступны следующие журналы событий Windows: Программа, Безопасность, Система.

     Вы можете добавить новый пользовательский журнал, указав название журнала в поле Правило срабатывает на появление новых записей в журнале событий Windows, если в параметрах события обнаружен указанный идентификатор (ID).

   • Правило срабатывает на появление новых записей в журнале событий Windows, если в параметрах события обнаружен указанный идентификатор (ID)
     

     Укажите программу, события которой будут использоваться для анализа.

9. В разделе Идентификаторы событий укажите идентификаторы событий, при обнаружении которых будет срабатывать правило.
   1. Укажите идентификатор события.
   2. Нажмите на кнопку Добавить.

      Указанный идентификатор события будет добавлен в список. Вы можете добавлять неограниченное количество идентификаторов для каждого правила.

10. Нажмите на кнопку Сохранить.

    Настроенные параметры правил анализа журналов будут применены.

В начало