Bạn có thể đặt tiêu chí kích hoạt quy tắc Kiểm tra nhật ký của riêng mình. Để thực hiện, bạn phải nhập ID sự kiện và chọn nguồn sự kiện. Bạn có thể tra cứu ID sự kiện trên Website hỗ trợ kỹ thuật của Microsoft. Bạn có thể chọn một nguồn sự kiện trong số các nhật ký tiêu chuẩn: Application, Security hoặc System. Bạn cũng có thể chỉ định nhật ký của ứng dụng bên thứ ba. Bạn có thể tìm tên của nhật ký ứng dụng của bên thứ ba bằng cách sử dụng công cụ Trình xem sự kiện. Nhật ký ứng dụng của bên thứ ba được lưu trong thư mục Nhật ký ứng dụng và dịch vụ (ví dụ: nhật ký Windows PowerShell).
Ứng dụng không kiểm tra xem nhật ký được chỉ định có thực sự hiện diện trong nhật ký sự kiện Windows hay không. Nếu có sai sót trong tên của nhật ký, ứng dụng sẽ không giám sát các sự kiện từ nhật ký đó.
Danh sách các quy tắc tùy chỉnh đã bao gồm ba quy tắc do các chuyên gia của Kaspersky tạo ra.
Trong cửa sổ mở ra, hãy chọn hộp kiểm bên cạnh các quy tắc tùy chỉnh mà bạn muốn bật.
Nếu cần, hãy nhấn vào Thêm để tạo các quy tắc tùy chỉnh của riêng bạn.
Thao tác này sẽ mở ra một cửa sổ; trong cửa sổ đó, hãy cấu hình quy tắc tùy chỉnh:
Tên quy tắc.
Tên nhật ký. Nhật ký sự kiện Windows. Có sẵn các nhật ký sau đây: Application, Security, System.
Nguồn. Nhật ký ứng dụng của bên thứ ba. Bạn có thể tìm tên của nhật ký ứng dụng của bên thứ ba bằng cách sử dụng công cụ Trình xem sự kiện. Nhật ký ứng dụng của bên thứ ba được lưu trong thư mục Nhật ký ứng dụng và dịch vụ (ví dụ: nhật ký Windows PowerShell).
Định danh sự kiện. ID sự kiện trong Nhật ký sự kiện của Windows. Bạn có thể tra cứu ID sự kiện trong tài liệu kỹ thuật của Microsoft.
Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & Profiles.
Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
Chọn thẻ Application settings.
Vào Security Controls → Log Inspection.
Đảm bảo rằng công tắc bật/tắt Log Inspection được bật.
Trong mục Custom rules, hãy chọn các quy tắc tùy chỉnh mà bạn muốn bật.
Nếu cần, hãy nhấn vào Add để tạo các quy tắc tùy chỉnh của riêng bạn.
Thao tác này sẽ mở ra một cửa sổ; trong cửa sổ đó, hãy cấu hình quy tắc tùy chỉnh:
Rule name.
Windows Event Log name. Nhật ký sự kiện Windows. Có sẵn các nhật ký sau đây: Application, Security, System.
Source. Nhật ký ứng dụng của bên thứ ba. Bạn có thể tìm tên của nhật ký ứng dụng của bên thứ ba bằng cách sử dụng công cụ Trình xem sự kiện. Nhật ký ứng dụng của bên thứ ba được lưu trong thư mục Nhật ký ứng dụng và dịch vụ (ví dụ: nhật ký Windows PowerShell).
Windows Event Log identifier. ID sự kiện trong Nhật ký sự kiện của Windows. Bạn có thể tra cứu ID sự kiện trong tài liệu kỹ thuật của Microsoft.
Trong cửa sổ mở ra, hãy chọn hộp kiểm bên cạnh các quy tắc tùy chỉnh mà bạn muốn bật.
Nếu cần, hãy nhấn vào Thêm để tạo các quy tắc tùy chỉnh của riêng bạn.
Thao tác này sẽ mở ra một cửa sổ; trong cửa sổ đó, hãy cấu hình quy tắc tùy chỉnh:
Tên quy tắc.
Tên nhật ký. Nhật ký sự kiện Windows. Có sẵn các nhật ký sau đây: Application, Security, System.
Nguồn. Nhật ký ứng dụng của bên thứ ba. Bạn có thể tìm tên của nhật ký ứng dụng của bên thứ ba bằng cách sử dụng công cụ Trình xem sự kiện. Nhật ký ứng dụng của bên thứ ba được lưu trong thư mục Nhật ký ứng dụng và dịch vụ (ví dụ: nhật ký Windows PowerShell).
Định danh sự kiện. ID sự kiện trong Nhật ký sự kiện của Windows. Bạn có thể tra cứu ID sự kiện trong tài liệu kỹ thuật của Microsoft.
Lưu các thay đổi của bạn.
Kết quả là khi quy tắc kích hoạt, Kaspersky Endpoint Security sẽ tạo sự kiện Critical.
.