Настройка параметров журнала с помощью Консоли программы

Вы можете настраивать следующие параметры журналов Kaspersky Embedded Systems Security для Windows:

• длительность хранения событий в журналах выполнения задач и журнале системного аудита;
• местоположение папки, в которой Kaspersky Embedded Systems Security для Windows сохраняет файлы журналов выполнения задач и журнала системного аудита;
• пороги формирования событий Базы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась;
• события, которые Kaspersky Embedded Systems Security для Windows сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Embedded Systems Security для Windows в оснастке "Просмотр событий";
• параметры публикации событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.

Чтобы настроить параметры журналов с помощью Консоли программы:

1. В дереве Консоли программы откройте контекстное меню узла Журналы и уведомления и выберите пункт Свойства.

   Откроется окно Параметры журналов и уведомлений.

2. На вкладке Общие, если требуется, выберите события, которые Kaspersky Embedded Systems Security для Windows сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Embedded Systems Security для Windows в оснастке "Просмотр событий":
   1. В списке Компонент выберите компонент Kaspersky Embedded Systems Security для Windows, уровень детализации событий которого вы хотите указать.
   2. В списке Уровень важности выберите уровень детализации событий в журналах выполнения задач, журнале системного аудита и журнале событий для выбранного компонента.

      В таблице событий флажки установлены рядом с событиями, которые регистрируются в журналах выполнения задач, журнале системного аудита и журнале событий в соответствии с выбранным уровнем детализации.

   3. Если вы хотите вручную включить запись отдельных событий для выбранного компонента или задачи:
      1. В списке Уровень важности выберите Другой.
      2. В таблице списка событий установите флажки рядом с теми событиями, запись которых в журналы выполнения задач, журнал системного аудита и журнал событий вы хотите включить.
3. На вкладке Дополнительно настройте параметры хранения журналов и пороги формирования событий для состояния защиты устройства:
   • В блоке Хранение журналов:
     • Папка с журналами;
       

       Путь к папке с журналами в формате UNC (Universal Naming Convention).

       По умолчанию используется путь C:\ProgramData\Kaspersky Lab\Kaspersky Embedded Systems Security\3.3\Reports\.

       Если используемый по умолчанию путь изменился, создается папка с соответствующим именем. Новые файлы журналов будут сохранены в новую папку. Созданные ранее файлы журналов останутся в старой папке.

     • Удалять события в журналах выполнения задач старше, чем (сут);
       

       Флажок включает или выключает функцию, которая удаляет журналы выполнения завершенных задач и события, зарегистрированные в журналах выполняющихся задач, по истечении заданного периода времени (по умолчанию 30 дней).

       Если флажок установлен, Kaspersky Embedded Systems Security для Windows удаляет журналы выполнения завершенных задач и события, зарегистрированные в журналах выполняющихся задач, по истечении заданного периода времени.

       По умолчанию флажок установлен.

     • Удалять события в журнале системного аудита старше, чем (сут).
       

       Флажок включает или выключает функцию, которая удаляет события, зарегистрированные в журнале системного аудита, по истечении заданного периода времени (по умолчанию 60 дней).

       Если флажок установлен, Kaspersky Embedded Systems Security для Windows удаляет события, зарегистрированные в журнале системного аудита, по истечении заданного периода времени.

       По умолчанию флажок снят.

   • В блоке Пороги формирования укажите количество дней, по истечении которого будут регистрироваться события Базы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась.
     

     Пороги формирования событий

     Параметр	Пороги формирования событий.
     Описание	Вы можете указать пороги формирования событий следующих типов: Базы программы устарели и Базы программы сильно устарели. События возникают, если базы Kaspersky Embedded Systems Security для Windows не обновляются в течение указанного параметром количества дней с момента выпуска последних установленных обновлений баз. Вы можете настроить уведомление администратора об этих событиях. Проверка важных областей защищаемого устройства давно не выполнялась. Событие возникает, если в течение указанного количества дней не выполняется ни одна из задач, отмеченных флажком Считать выполнение задачи проверкой важных областей.
     Возможные значения	Количество дней от 1 до 365.
     Значение по умолчанию	Базы программы устарели – 7 дней. Базы программы сильно устарели – 14 дней. Проверка важных областей давно не выполнялась – 30 дней.

4. На вкладке Интеграция с SIEM настройте параметры публикации событий аудита и событий выполнения задач на syslog-сервере.
5. Нажмите на кнопку OK, чтобы сохранить изменения.

В этом разделе Об интеграции с SIEM Настройка параметров интеграции с SIEM

В начало