Вы можете просматривать события следующими способами:
В журнале событий приложения. Журнал событий расположен в директории, указанной общим параметром приложенияEventsStoragePath. По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kics/private/storage/events.db. Для доступа к базе данных событий требуются root-права.
Если в общих параметрах приложения для параметра UseSysLog указано значение Yes, то данные о событиях также записываются в syslog. Для доступа к syslog требуются root-права.
Если управление приложением Kaspersky Industrial CyberSecurity for Linux Nodes осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Для некоторых событий действуют правила агрегирования. В случае, если за короткий промежуток времени в процессе работы приложения создается много событий одного типа, приложение переключается в режим агрегирования событий и отправляет в Kaspersky Security Center одно агрегированное событие с описанием параметров этих событий. Для разных событий могут использоваться разные правила агрегирования. Администратор может настроить выполнение скрипта при получении события из приложения или получение уведомлений о событиях по электронной почте. Подробную информацию о событиях см. в документации Kaspersky Security Center.
Если включен графический пользовательский интерфейс (GUI), информация о событиях отображается в отчетах и во всплывающих окнах приложения.
Чтобы получить информацию обо всех событиях в журнале событий, выполните следующую команду:
kics-control -E --query|less
По умолчанию в приложении хранится до 500 000 событий. С помощью утилиты less вы можете перемещаться по списку отображаемых событий.
Вы можете просматривать конкретные события с помощью системы запросов к хранилищу событий приложения.
При создании запроса требуется указать нужное поле, выбрать операцию сравнения и задать нужное значение. Значение требуется указывать в одинарных кавычках (‘), а запрос целиком – в двойных кавычках ("):
Значение даты вы можете указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года) или в формате YYYY-MM-DD hh:mm:ss. Значение даты и времени указывается пользователем и отображается приложением по локальному времени пользователя.
Пример события ThreatDetected:
EventType=ThreatDetected
EventId=2671
Initiator=Product
Date=2020-04-30 17:17:17
DangerLevel=Critical
FileName=/root/eicar.com.txt
ObjectName=File
TaskName=File_Monitoring
RuntimeTaskId=2
TaskId=1
DetectName=EICAR-Test-File
TaskType=OAS
FileOwner=root
FileOwnerId=0
DetectCertainty=Sure
DetectType=Virware
DetectSource=Local
ObjectId=1
AccessUser=root
AccessUserId=0
Примеры запросов:
Вывести все события с заданным значением поля EventType:
Вывести все события с заданными значениями полей EventType и FileName:
kics-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"
Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в системе отметок времени UNIX™ (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):
kics-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"
Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в формате YYYY-MM-DD hh:mm:ss:
kics-control -E --query "TaskName == 'File_Threat_Protection' and Date > '2022-11-22 18:42:54'"