在事件日志中添加或排除记录

事件记录仅对运行可移动驱动器上的文件可用。

要启用或禁用事件记录，请执行以下操作：

1. 在应用程序主窗口中，单击“设置”按钮。
2. 在应用程序设置窗口中，选择“安全控制 → 设备控制”。
3. 在窗口右侧，选择“设备类型”选项卡。

   “设备类型”选项卡包含设备控制组件分类中包括的所有设备的访问规则。

4. 选择设备表中的“可移动驱动器”。

   表上方的“日志记录”按钮将可用。

5. 单击“日志记录”按钮。

   这会打开“日志记录设置”窗口。

6. 执行下列操作之一：
   • 如果您希望启用记录可移动驱动器上的文件删除和写入操作，请选择“启用日志”复选框。

     Kaspersky Endpoint Security 会将事件保存在日志文件中并发送消息至 Kaspersky Security Center 管理服务器，无论用户是否在可移动驱动器上写入或删除文件。

   • 否则，清空“启用日志”复选框。
7. 指定必须记录的操作。若要进行操作，请执行下列操作之一：
   • 如果您希望 Kaspersky Endpoint Security 记录所有事件，则选中“所有格式”复选框。
   • 如果您希望 Kaspersky Endpoint Security 只记录有关特定格式文件的信息，请在“文件格式筛选”区域中选择相关文件格式对应的复选框。
8. 单击“选择”按钮。

   “选择用户和/或用户组”窗口将打开。

   “用户”区域中指定的用户在可移动驱动器上写入文件或删除文件时，Kaspersky Endpoint Security 会将此类操作的信息写入事件日志并将消息发送至 Kaspersky Security Center 管理服务器。

9. 执行以下操作：
   • 要向“选择用户和/或用户组”窗口中的表添加用户或用户组：
     1. 在“选择用户和/或用户组”窗口中，单击“添加”按钮。

        Microsoft Windows 中将开启标准“选择用户或组”窗口。

     2. 在 Microsoft Windows 中的“选择用户或组”窗口中，指定 Kaspersky Endpoint Security 为其将选定设备识别为受信任的设备的用户和/或用户组。
     3. 在“选择用户或组”窗口中，单击“确定”按钮。

        在 Microsoft Windows 的“选择用户或组”窗口中指定的用户和/或用户组的名称显示在“选择用户和/或用户组”窗口中。

   • 要从“选择用户和/或用户组”窗口中的表删除用户或用户组，请选择表中的一行或多行，然后单击“删除”。

     要选择多行，请按住“CTRL”键依次选择。

10. 保存更改。

您可以在 Kaspersky Security Center 管理控制台中查看移动驱动器上与文件关联的事件，其位于事件选项卡上管理服务器节点的工作区中。要使事件显示在本地 Kaspersky Endpoint Security 事件日志中，您必须选择“设备控制”组件的通知设置中的已执行文件操作复选框。

页面顶部