Просмотр событий

Вы можете просматривать события следующими способами:

Чтобы получить информацию обо всех событиях в журнале событий, выполните следующую команду:

kics-control -E --query|less

По умолчанию в приложении хранится до 500 000 событий. С помощью утилиты less вы можете перемещаться по списку отображаемых событий.

Вы можете просматривать конкретные события с помощью системы запросов к хранилищу событий приложения.

При создании запроса требуется указать нужное поле, выбрать операцию сравнения и задать нужное значение. Значение требуется указывать в одинарных кавычках (‘), а запрос целиком – в двойных кавычках ("):

--query "<поле> <операция сравнения> '<значение>' [and <поле> <операция сравнения> '<значение>' *]"

Значение даты вы можете указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года) или в формате YYYY-MM-DD hh:mm:ss. Значение даты и времени указывается пользователем и отображается приложением по локальному времени пользователя.

Пример события ThreatDetected:

EventType=ThreatDetected

EventId=2671

Initiator=Product

Date=2020-04-30 17:17:17

DangerLevel=Critical

FileName=/root/eicar.com.txt

ObjectName=File

TaskName=File_Monitoring

RuntimeTaskId=2

TaskId=1

DetectName=EICAR-Test-File

TaskType=OAS

FileOwner=root

FileOwnerId=0

DetectCertainty=Sure

DetectType=Virware

DetectSource=Local

ObjectId=1

AccessUser=root

AccessUserId=0

Примеры запросов:

Вывести все события с заданным значением поля EventType:

kics-control -E --query "EventType == 'ThreatDetected'"

Вывести все события с заданными значениями полей EventType и FileName:

kics-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"

Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в системе отметок времени UNIX™ (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):

kics-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"

Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в формате YYYY-MM-DD hh:mm:ss:

kics-control -E --query "TaskName == 'File_Threat_Protection' and Date > '2022-11-22 18:42:54'"

В начало