Kaspersky Security Center 15.1 Linux
15.1
Русский

Содержание

[Topic 233383]

О событиях в Kaspersky Security Center Linux

Kaspersky Security Center Linux позволяет получать информацию о событиях, произошедших в процессе работы Сервера администрирования и приложений "Лаборатории Касперского", установленных на управляемых устройствах. Информация о событиях сохраняется в базе данных Сервера администрирования.

События по типу

В Kaspersky Security Center Linux существуют следующие типы уведомлений:

  • Общие события. Эти события возникают во всех управляемых приложениях "Лаборатории Касперского". Например, общее событие Вирусная атака. Общие события имеют строго определенные синтаксис и семантику. Общие события используются, например, в отчетах и панели мониторинга.
  • Специфические события управляемых приложений "Лаборатории Касперского". Каждое управляемое приложение "Лаборатории Касперского" имеет собственный набор событий.

События по источнику

Просмотреть полный список событий, которые может генерировать приложение, можно на вкладке Настройка событий в свойствах политики приложения. Для Сервера администрирования можно дополнительно просмотреть список событий в свойствах Сервера администрирования.

События могут генерироваться следующими приложениями:

  • Компоненты приложения Kaspersky Security Center Linux:
  • Управляемые приложения "Лаборатории Касперского"

    Подробнее о событиях, генерируемых управляемыми приложениями "Лаборатории Касперского", см. в документации соответствующего приложения.

События по уровню важности

Каждое событие имеет собственный уровень важности. В зависимости от условий возникновения, событию могут быть присвоены различные уровни важности. Существует четыре уровня важности событий:

  • Критическое событие – событие, указывающее на возникновение критической проблемы, которая может привести к потере данных, сбою в работе или критической ошибке.
  • Отказ функционирования – событие, указывающее на возникновение серьезной проблемы, ошибки или сбоя, произошедшего во время работы приложения или выполнения процедуры.
  • Предупреждение – событие, не обязательно являющееся серьезным, однако указывающее на возможное возникновение проблемы в будущем. Чаще всего события относятся к Предупреждениям, если после их возникновения работа приложения может быть восстановлена без потери данных или функциональных возможностей.
  • Информационное сообщение – событие, возникающее с целью информирования об успешном выполнении операции, корректной работе приложения или завершении процедуры.

Для каждого события задано время хранения, которое можно посмотреть или изменить в Kaspersky Security Center Linux. Некоторые события не сохраняются в базе данных Сервера администрирования по умолчанию, поскольку для них установленное время хранения равно нулю. Во внешние системы можно экспортировать только те события, которые хранятся в базе данных Сервера администрирования не менее одного дня.

См. также:

События компонент Kaspersky Security Center Linux

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151331]

События компонент Kaspersky Security Center Linux

Каждый компонент Kaspersky Security Center Linux имеет собственный набор типов событий. В этом разделе перечислены типы событий, которые происходят на Сервере администрирования Kaspersky Security Center и Агенте администрирования. Типы событий, которые возникают в приложениях "Лаборатории Касперского", в этом разделе не перечислены.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Для Сервера администрирования можно дополнительно просмотреть и настроить список событий в свойствах Сервера администрирования. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

В этом разделе

Структура данных описания типа события

События Сервера администрирования

События Агента администрирования
В начало
[Topic 151336]

Структура данных описания типа события

Для каждого типа событий отображаются его имя, идентификатор, буквенный код, описание и время хранения по умолчанию.

  • Отображаемое имя типа события. Этот текст отображается в Kaspersky Security Center Linux, когда вы настраиваете события и при их возникновении.
  • Идентификатор типа события. Этот цифровой код используется при обработке событий с использованием инструментов анализа событий сторонних производителей.
  • Тип события (буквенный код). Этот код используется при просмотре и обработке событий с использованием публичных представлений базы данных Kaspersky Security Center Linux и при экспорте событий в SIEM-системы.
  • Описание. Этот текст содержит описание ситуации при возникновении события и описание того, что вы можете сделать в этом случае.
  • Срок хранения по умолчанию. Это количество дней, в течение которых событие хранится в базе данных Сервера администрирования и отображается в списке событий Сервера администрирования. После окончания этого периода событие удаляется. Если значение времени хранения события указано 0, такие события регистрируются, но не отображаются в списке событий Сервера администрирования. Если вы настроили хранение таких событий в журнале событий операционной системы, вы можете найти их там.

    Можно изменить время хранения событий: Настройка срока хранения события.

В начало
[Topic 181756][Topic 184666_1]

Критические события Сервера администрирования

В таблице ниже приведены события Сервера администрирования Kaspersky Security Center с уровнем важности Критическое.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Для Сервера администрирования можно дополнительно просмотреть и настроить список событий в свойствах Сервера администрирования. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

Критические события Сервера администрирования

Отображаемое имя типа события

Идентификатор типа события

Тип события

Описание

Срок хранения по умолчанию

Лицензионное ограничение превышено

4099

KLSRV_EV_LICENSE_CHECK_MORE_110

Один раз в день Kaspersky Security Center Linux проверяет, не превышены ли лицензионные ограничения.

События этого типа возникают, если Сервер администрирования регистрирует превышение лицензионного ограничения приложений "Лаборатории Касперского", установленных на клиентских устройствах, и если количество используемых лицензионных единиц одной лицензии превышает 110% от общего количества лицензионных единиц, охватываемых лицензией.

Даже если возникает это событие, клиентские устройства защищены.

Вы можете ответить на событие следующими способами:

  • Просмотрите список управляемых устройств. Удалите устройства, которые не используются.
  • Предоставьте лицензию на большее количество устройств (добавьте еще один действительный код активации или файл ключа на Сервер администрирования).

Kaspersky Security Center Linux определяет правила генерации событий при превышении лицензионного ограничения.

180 дней

Устройство стало неуправляемым

4111

KLSRV_HOST_OUT_CONTROL

События этого типа возникают, если управляемое устройство видимо в сети, но не подключено к Серверу администрирования в течение заданного периода.

Определите, что мешает правильной работе Агента администрирования на устройстве. Возможные причины могут включать проблемы сети и удаление Агента администрирования с устройства.

180 дней

Статус устройства "Критический"

4113

KLSRV_HOST_STATUS_CRITICAL

События этого типа возникают, если управляемому устройству назначен статус Критический. Вы можете настроить условия при выполнении которых, статус устройства изменяется на Критический.

180 дней

Файл ключа добавлен в список запрещенных

4124

KLSRV_LICENSE_BLACKLISTED

События этого типа возникают, если "Лаборатория Касперского" добавила код активации или лицензионный ключ, который вы используете, в запрещенный список.

Обратитесь в Службу технической поддержки для получения подробной информации.

180 дней

Срок действия лицензии скоро истекает

4129

KLSRV_EV_LICENSE_SRV_EXPIRE_SOON

События этого типа возникают, если приближается дата окончания срока действия коммерческой лицензии.

Один раз в день Kaspersky Security Center Linux проверяет, не истек ли срок действия лицензии. События этого типа публикуются за 30 дней, 15 дней, 5 дней и 1 день, до истечения срока действия лицензии. Это количество дней невозможно изменить. Если Сервер администрирования выключен, в указанный день окончания срока действия лицензии, событие не будет опубликовано до следующего дня.

После окончания срока действия коммерческой лицензии, Kaspersky Security Center Linux работает в режиме Базовой функциональности.

Вы можете ответить на событие следующими способами:

  • Убедитесь, что резервный лицензионный ключ добавлен на Сервер администрирования.
  • Если вы используете подписку, продлите ее. Неограниченная подписка продлевается автоматически, если предоплата поставщику услуг была своевременно внесена.

180 дней

Срок действия сертификата истек

4132

KLSRV_CERTIFICATE_EXPIRED

События этого типа возникают, если истекает срок действия сертификата Сервера администрирования для Управления мобильными устройствами.

Вам необходимо обновить сертификат, срок действия которого истекает.

180 дней

Срок действия сертификата Сервера администрирования истек.

6129

KLSRV_EV_SRV_CERT_EXPIRED_DN

События этого типа возникают, если срок действия сертификата Сервера администрирования истекает.

Вам необходимо обновить сертификат, срок действия которого истекает.

180 дней

Аудит: Не удалось выполнить экспорт в SIEM-систему

5130

KLAUD_EV_SIEM_EXPORT_ERROR

События этого типа возникают при сбое экспорта событий в SIEM-систему из-за ошибки соединения с SIEM-системой.

180 дней

Режим ограниченной функциональности

4130

KLSRV_EV_LICENSE_SRV_LIMITED_MODE

События этого типа возникают, если Kaspersky Security Center Linux начинает работать в режиме базовой функциональности, без поддержки Управления мобильными устройствами и Системного администрирования.

Ниже приведены причины и соответствующие ответы на событие:

  • Срок действия лицензии истек. Предоставьте лицензию на полную функциональность Kaspersky Security Center Linux (добавьте действительный код активации или файл ключа на Сервер администрирования).
  • Сервер администрирования управляет большим количеством устройств, чем может использоваться по предоставленной лицензии. Переместите устройства из состава групп администрирования одного Сервера в группы администрирования другого Сервера (если лицензионное ограничение другого Сервера не превышено).

180 дней

Обновления модулей приложений "Лаборатории Касперского" отозваны

4142

KLSRV_SEAMLESS_UPDATE_REVOKED

События этого типа возникают, если обновления были отозваны техническими специалистами "Лаборатории Касперского", например, по причине их замены на более новые версии. Для таких обновлений отображается статус Отозвано. Событие не относится к патчам Kaspersky Security Center Linux и не относится к модулям управляемых приложений "Лаборатории Касперского". Событие содержит причину, из-за которой обновления не установлены.

180 дней

Вирусная атака
  • 26 (для компонента Защита от файловых угроз)
  • 27 (для компонента Защита от почтовых угроз)
  • 28 (для сетевого экрана)

 

GNRL_EV_VIRUS_OUTBREAK

События этого типа возникают, если количество вредоносных объектов, обнаруженных на нескольких управляемых устройствах в течение короткого периода, превышает заданные пороговые значения.

Вы можете ответить на событие следующими способами:

 

См. также:

События отказа функционирования Сервера администрирования

Информационные события Сервера администрирования

События предупреждения Сервера администрирования

О событиях в Kaspersky Security Center Linux
В начало
[Topic 177080_1]

События отказа функционирования Сервера администрирования

В таблице ниже приведены события Сервера администрирования Kaspersky Security Center с уровнем важности Отказ функционирования.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Для Сервера администрирования можно дополнительно просмотреть и настроить список событий в свойствах Сервера администрирования. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

События отказа функционирования Сервера администрирования

Отображаемое имя типа события

Идентификатор типа события

Тип события

Описание

Срок хранения по умолчанию

Ошибка времени выполнения

 

 

4125

 

 

 

 

KLSRV_RUNTIME_ERROR

 

 

 

 

События этого типа возникают из-за неизвестных проблем.

Чаще всего это проблемы СУБД, проблемы с сетью и другие проблемы с программным и аппаратным обеспечением.

Подробную информацию о событии можно найти в его описании.

 

 

 

 

 

180 дней

 

 

 

 

Не удалось выполнить копирование обновлений в заданную папку

4123

KLSRV_UPD_REPL_FAIL

События этого типа возникают, если обновления программного обеспечения копируются в общую папку (или папки).

Вы можете ответить на событие следующими способами:

  • Проверить, имеет ли учетная запись пользователя, которая используется для получения доступа к папке (или папкам), права на запись.
  • Проверить, были ли изменены имя пользователя и/или пароль к папкам.
  • Проверить подключение к интернету, так как это может быть причиной события. Следуйте инструкциям по обновлению баз и модулей приложений.

180 дней

Нет свободного места на диске

4107

KLSRV_DISK_FULL

События этого типа возникают, если на жестком диске устройства, на котором установлен Сервер администрирования, заканчивается дисковое пространство.

Освободите дисковое пространство на устройстве.

180 дней

Общая папка недоступна

4108

KLSRV_SHARED_FOLDER_UNAVAILABLE

События этого типа возникают, если общая папка Сервера администрирования недоступна.

Вы можете ответить на событие следующими способами:

  • Убедитесь, что Сервер администрирования (на котором находится общая папка) включен и доступен.
  • Проверьте, были ли изменены имя пользователя и/или пароль к папке.
  • Проверьте подключение к сети.

180 дней

База данных Сервера администрирования недоступна

4109

KLSRV_DATABASE_UNAVAILABLE

События этого типа возникают, если база Сервера администрирования становится недоступной.

Вы можете ответить на событие следующими способами:

  • Проверьте, доступен ли удаленный сервер, на котором установлен SQL-сервер.
  • Просмотрите журналы событий СУБД и найдите причину недоступности базы Сервера администрирования. Например, из-за профилактических работ удаленный сервер с установленным SQL Server может быть недоступен.

180 дней

Недостаточно места в базе данных Сервера администрирования

4110

KLSRV_DATABASE_FULL

События этого типа возникают, если нет свободного места в базе Сервера администрирования.

Сервер администрирования не работает, если его база данных переполнена и дальнейшая запись в базу данных невозможна.

Ниже приведены причины возникновения события, которые зависят от используемой СУБД, и соответствующие способы реагирования на событие:

Просмотрите информацию о выборе СУБД.

180 дней

Не удалось выполнить опрос облачного сегмента

4143

KLSRV_KLCLOUD_SCAN_ERROR

События этого типа возникают, если Сервер администрирования не может опросить сегмент сети в облачном окружении. Прочтите информацию в описании события и отреагируйте соответствующим образом.

Не хранится

См. также:

Критические события Сервера администрирования

Информационные события Сервера администрирования

События предупреждения Сервера администрирования

О событиях в Kaspersky Security Center Linux
В начало
[Topic 177081_1]

События предупреждения Сервера администрирования

В таблице ниже приведены события Сервера администрирования Kaspersky Security Center с уровнем важности Предупреждение.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Для Сервера администрирования можно дополнительно просмотреть и настроить список событий в свойствах Сервера администрирования. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

События предупреждения Сервера администрирования

Отображаемое имя типа события

Идентификатор типа события

Тип события

Описание

Срок хранения по умолчанию

Обнаружено получение частого события

 

KLSRV_EVENT_SPAM_EVENTS_DETECTED

События этого типа возникают, если Сервер администрирования регистрирует частые события на управляемом устройстве. Дополнительную информацию см. в следующих разделах: Блокировка частых событий.

90 дней

Лицензионное ограничение превышено

4098

KLSRV_EV_LICENSE_CHECK_100_110

Один раз в день Kaspersky Security Center Linux проверяет, не превышены ли лицензионные ограничения.

События этого типа возникают, если Сервер администрирования регистрирует превышение лицензионного ограничения приложений "Лаборатории Касперского", установленных на клиентских устройствах, и если количество используемых лицензионных единиц одной лицензии составляет от 100% до 110% от общего количества единиц, охватываемых лицензией.

Даже если возникает это событие, клиентские устройства защищены.

Вы можете ответить на событие следующими способами:

  • Просмотрите список управляемых устройств. Удалите устройства, которые не используются.
  • Предоставьте лицензию на большее количество устройств (добавьте еще один действительный код активации или файл ключа на Сервер администрирования).

Kaspersky Security Center Linux определяет правила генерации событий при превышении лицензионного ограничения.

90 дней

Устройство долго не проявляет активности в сети

4103

KLSRV_EVENT_HOSTS_NOT_VISIBLE

События этого типа возникают, если управляемое устройство неактивно в течение некоторого времени.

Чаще всего это происходит, когда управляемое устройство выводится из эксплуатации.

Вы можете ответить на событие следующими способами:

  • Удалите устройство из списка управляемых устройств вручную.

    Укажите интервал, по истечении которого создается событие Устройство долго не проявляет активности в сети с помощью Kaspersky Security Center Web Console.

  • Укажите интервал, по истечении которого устройство автоматически удаляется из группы с помощью Kaspersky Security Center Web Console.

90 дней

Конфликт имен устройств

4102

KLSRV_EVENT_HOSTS_CONFLICT

События этого типа возникают, если Сервер администрирования рассматривает два или более управляемых устройства как одно устройство.

Чаще всего это происходит, когда клонированный жесткий диск использовался для развертывания приложений на управляемых устройствах и без переключения Агента администрирования в режим клонирования выделенного диска на эталонном устройстве.

Чтобы избежать этой проблемы, перед клонированием жесткого диска этого устройства переключите Агент администрирования в режим клонирования диска на эталонном устройстве.

90 дней

Статус устройства "Предупреждение"

 

 

 

4114

 

 

 

KLSRV_HOST_STATUS_WARNING

 

 

 

События этого типа возникают, если управляемому устройству назначен статус Предупреждение. Вы можете настроить условия при выполнении которых, статус устройства изменяется на Предупреждение.

 

 

 

 

 

90 дней

 

 

 

Сертификат запрошен

4133

KLSRV_CERTIFICATE_REQUESTED

События этого типа возникают, если не удается автоматически перевыпустить сертификат для Управления мобильными устройствами.

Ниже приведены возможные причины событий и соответствующие действия по реагированию на событие:

  • Автоматический перевыпуск был инициирован для сертификата, для которого параметр Автоматически перевыпускать сертификат, если это возможно выключен. Это могло произойти из-за ошибки, которая возникла при создании сертификата. Может потребоваться перевыпуск сертификата вручную.
  • Если вы используете интеграцию с инфраструктурой открытых ключей, причиной может быть отсутствие атрибута SAM-Account-Name учетной записи, которая используется для интеграции с PKI и для выпуска сертификата. Просмотрите свойства учетной записи.

90 дней

Сертификат удален

4134

KLSRV_CERTIFICATE_REMOVED

События этого типа возникают, если администратор удаляет сертификат любого типа (общий, почтовый, VPN) для Управления мобильными устройствами.

После удаления сертификата мобильные устройства, подключенные по этому сертификату, не смогут подключиться к Серверу администрирования.

Это событие может быть полезно при исследовании неисправностей, связанных с Управлением мобильными устройствами.

90 дней

Срок действия сертификата истекает.

6128

KLSRV_EV_SRV_CERT_EXPIRES_SOON

События этого типа возникают, если срок действия сертификата Сервера администрирования истекает через 30 дней или раньше и нет резервного сертификата.

90 дней

Срок действия APNs-сертификата истек

4135

KLSRV_APN_CERTIFICATE_EXPIRED

События этого типа происходят, если истекает срок действия APNs-сертификата.

Вам необходимо вручную обновить APNs-сертификат и установить его на Сервер iOS MDM.

Не хранится

Срок действия APNs-сертификата истекает

4136

KLSRV_APN_CERTIFICATE_EXPIRES_SOON

События этого типа возникают, если до истечения срока действия APNs-сертификата остается менее 14 дней.

При истечении срока действия APNs-сертификата, вам необходимо вручную обновить APNs-сертификат и установить его на Сервер iOS MDM.

Рекомендуется запланировать обновление APNs-сертификата до истечения срока его действия.

Не хранится

Не удалось отправить FCM-сообщение на мобильное устройство

4138

KLSRV_GCM_DEVICE_ERROR

События этого типа возникают, если Управление мобильными устройствами настроено на использование Google Firebase Cloud Messaging (FCM) для подключения к управляемым мобильным устройствам с операционной системой Android, а FCM-сервер не может обработать некоторые запросы, полученные от Сервера администрирования. Это означает, что некоторые управляемые мобильные устройства не будут получать push-уведомление.

Прочтите HTTP код в описании события и ответьте соответствующим образом. Дополнительная информация о HTTP кодах, полученных от FCM-сервера, и связанных с ними ошибках есть в документации службы Google Firebase (см. главу "Downstream message error response codes").

90 дней

HTTP-ошибка при отправке FCM-сообщения на FCM-сервер

4139

KLSRV_GCM_HTTP_ERROR

События этого типа возникают, если Управление мобильными устройствами настроено на использование Google Firebase Cloud Messaging (FCM) для подключения управляемых мобильных устройств с операционной системой Android, а FCM-сервер возвращает запрос Серверу администрирования с кодом HTTP, отличным от 200 (ОК).

Ниже приведены возможные причины событий и соответствующие действия по реагированию на событие:

  • Проблемы на стороне FCM-сервера. Прочтите HTTP код в описании события и ответьте соответствующим образом. Дополнительная информация о HTTP кодах, полученных от FCM-сервера, и связанных с ними ошибках есть в документации службы Google Firebase (см. главу "Downstream message error response codes").
  • Проблемы на стороне прокси-сервера (если вы используете прокси-сервер). Прочтите HTTP код в описании события и ответьте соответствующим образом.

90 дней

Не удалось отправить FCM-сообщение на FCM-сервер

4140

KLSRV_GCM_GENERAL_ERROR

События этого типа возникают из-за непредвиденных ошибок на стороне Сервера администрирования при работе с HTTP-протоколом Google Firebase Cloud Messaging.

Прочтите информацию в описании события и отреагируйте соответствующим образом.

Если вы не можете найти решение проблемы самостоятельно, рекомендуем вам обратиться в Службу технической поддержки "Лаборатории Касперского".

90 дней

Мало свободного места на жестком диске

4105

KLSRV_NO_SPACE_ON_VOLUMES

События этого типа возникают, если на устройстве, на котором установлен Сервер администрирования, почти закончилось дисковое пространство.

Освободите дисковое пространство на устройстве.

90 дней

Недостаточно места в базе данных Сервера администрирования

4106

KLSRV_NO_SPACE_IN_DATABASE

События этого типа возникают, если свободное место в базе Сервера администрирования ограничено. Если вы не устраните эту проблему, скоро база данных Сервера администрирования достигнет своей емкости и Сервер администрирования не будет работать.

Ниже приведены причины возникновения события, которые зависят от используемой СУБД, и соответствующие способы реагирования на событие.

Просмотрите информацию о выборе СУБД.

90 дней

Разорвано соединение с подчиненным Сервером администрирования

4116

KLSRV_EV_SLAVE_SRV_DISCONNECTED

События этого типа возникают при разрыве соединения с подчиненным Сервером администрирования.

Прочтите журнал событий операционной системы на устройстве, на котором установлен подчиненный Сервер администрирования, и отреагируйте соответствующим образом.

90 дней

Разорвано соединение с главным Сервером администрирования

4118

KLSRV_EV_MASTER_SRV_DISCONNECTED

События этого типа возникают при разрыве соединения с главным Сервером администрирования.

Прочтите журнал событий операционной системы на устройстве, на котором установлен главный Сервер администрирования, и отреагируйте соответствующим образом.

90 дней

Зарегистрированы новые обновления модулей приложений "Лаборатории Касперского"

4141

KLSRV_SEAMLESS_UPDATE_REGISTERED

События этого типа возникают, если Сервер администрирования регистрирует новые обновления приложений "Лаборатории Касперского", установленных на управляемых устройствах, для установки которых требуется одобрение.

Одобрите или отклоните обновления с помощью Kaspersky Security Center Web Console.

90 дней

Превышено ограничение числа событий, началось удаление событий из базы данных

4145

KLSRV_EVP_DB_TRUNCATING

События такого типа возникают, если удаление старых событий из базы данных Сервера администрирования началось после достижения максимального количества событий, хранящихся в базе данных Сервера администрирования.

Вы можете ответить на событие следующими способами:

Не хранится

Превышено ограничение числа событий, удалены события из базы данных

4146

KLSRV_EVP_DB_TRUNCATED

События такого типа возникают, если старые события удалены из базы данных Сервера администрирования после достижения максимального количества событий, хранящихся в базе данных Сервера администрирования.

Вы можете ответить на событие следующими способами:

Не хранится

Аудит: Не удалось выполнить проверку подключения к SIEM-серверу

5120

KLAUD_EV_SIEM_TEST_FAILED

События этого типа возникают при сбое автоматической проверки подключения к SIEM-серверу.

90 дней

См. также:

Критические события Сервера администрирования

События отказа функционирования Сервера администрирования

Информационные события Сервера администрирования

О событиях в Kaspersky Security Center Linux
В начало
[Topic 177082_1]

Информационные события Сервера администрирования

В таблице ниже приведены события Сервера администрирования Kaspersky Security Center с уровнем важности Информационное сообщение.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Для Сервера администрирования можно дополнительно просмотреть и настроить список событий в свойствах Сервера администрирования. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

Информационные события Сервера администрирования

Отображаемое имя типа события

Идентификатор типа события

Тип события

Описание

Срок хранения по умолчанию

Лицензионный ключ использован более чем на 90%

4097

KLSRV_EV_LICENSE_CHECK_90

События этого типа возникают, если Сервер администрирования регистрирует превышение лицензионного ограничения приложений "Лаборатории Касперского", установленных на клиентских устройствах, и если количество используемых лицензионных единиц одной лицензии превышает 90% от общего количества лицензионных единиц, охватываемых лицензией.

Даже при превышении лицензионных ограничений клиентские устройства защищены.

Вы можете ответить на событие следующими способами:

  • Просмотрите список управляемых устройств. Удалите устройства, которые не используются.
  • Предоставьте лицензию на большее количество устройств (добавьте еще один действительный код активации или файл ключа на Сервер администрирования).

Kaspersky Security Center Linux определяет правила генерации событий при превышении лицензионного ограничения.

30 дней

Обнаружено новое устройство

4100

KLSRV_EVENT_HOSTS_NEW_DETECTED

События этого типа возникают при обнаружении новых сетевых устройств.

30 дней

Устройство автоматически добавлено в группу

4101

KLSRV_EVENT_HOSTS_NEW_REDIRECTED

События этого типа возникают, если устройства были отнесены к группе в соответствии с правилами перемещения устройств.

30 дней

Устройство было автоматически перемещено с помощью правила

1074

KLSRV_HOST_MOVED_WITH_RULE_EX

События этого типа возникают, если устройства были перемещены в группы администрирования в соответствии с правилами перемещения устройств.

30 дней

Устройство удалено из группы: долгое отсутствие активности в сети

 

 

 

 

4104

 

 

KLSRV_INVISIBLE_HOSTS_REMOVED

 

 

События этого типа возникают, когда устройства были автоматически удалены из группы из-за неактивности.

 

 

 

 

 

30 дней

 

 

Идентификатор экземпляра FCM мобильного устройства изменен

4137

KLSRV_GCM_DEVICE_REGID_CHANGED

События этого типа возникают при изменении токена Firebase Cloud Messaging на устройстве.

Информацию о ротации токенов FCM см. в документации сервиса Firebase.

30 дней

Обновления успешно скопированы в заданную папку

4122

KLSRV_UPD_REPL_OK

События этого типа возникают, когда задача Загрузка обновлений в хранилище Сервера администрирования завершает копирование файлов в указанную папку.

30 дней

Установлено соединение с подчиненным Сервером администрирования

4115

KLSRV_EV_SLAVE_SRV_CONNECTED

Подробнее см. в статье Создание иерархии Серверов администрирования: добавление подчиненного Сервера администрирования.

30 дней

Установлено соединение с главным Сервером администрирования

4117

KLSRV_EV_MASTER_SRV_CONNECTED

 

30 дней

Появились файлы для отправки на анализ в "Лабораторию Касперского"

4131

KLSRV_APS_FILE_APPEARED

 

30 дней

Базы обновлены

4144

KLSRV_UPD_BASES_UPDATED

События этого типа возникают, когда задача Загрузка обновлений в хранилище Сервера администрирования завершает обновление базы данных.

30 дней

Аудит: Подключение к Серверу администрирования

4147

KLAUD_EV_SERVERCONNECT

 

30 дней

Аудит: Изменение объекта

4148

KLAUD_EV_OBJECTMODIFY

Это событие отслеживает изменения в следующих объектах:

  • группах администрирования;
  • группах безопасности;
  • пользователях;
  • инсталляционных пакетах;
  • задачах;
  • политиках;
  • Серверах;
  • виртуальных Серверах.

30 дней

Аудит: Изменение статуса объекта

4150

KLAUD_EV_TASK_STATE_CHANGED

Например, это событие возникает, если задача завершилась ошибкой.

30 дней

Аудит: Изменение параметров группы

4149

KLAUD_EV_ADMGROUP_CHANGED

События этого типа возникают при изменении группы безопасности.

30 дней

Аудит: Подключение к Серверу администрирования было прервано

4151

KLAUD_EV_SERVERDISCONNECT

 

30 дней

Аудит: Свойства объекта были изменены

4152

KLAUD_EV_OBJECTPROPMODIFIED

Это событие отслеживает изменения в следующих параметрах:

  • пользователь;
  • лицензия;
  • Сервер;
  • виртуальный Сервер.

30 дней

Аудит: Права пользователя были изменены

4153

KLAUD_EV_OBJECTACLMODIFIED

 

30 дней

Аудит: Ключи шифрования импортированы/экспортированы

5100

KLAUD_EV_DPEKEYSEXPORT

Например, это событие происходит во время переноса данных.

30 дней

Аудит: Проверка подключения к SIEM-серверу выполнена успешно

5110

KLAUD_EV_SIEM_TEST_SUCCESS

События этого типа возникают при успешном подключении к SIEM-серверу.

30 дней

Резервный сертификат создан.

6126

KLSRV_EV_SRV_CERT_RESERVE_CREATED

30 дней

События этого типа возникают, если сертификат Сервера администрирования создан.

Сертификат обновлен.

6127

KLSRV_EV_SRV_CERT_RENEWED

30 дней

События этого типа возникают, если сертификат Сервера администрирования был обновлен.

В начало
[Topic 177083_1]

События Агента администрирования

В этом разделе содержится информация о событиях Агента администрирования.

В этом разделе

События отказа функционирования Агента администрирования

События предупреждения Агента администрирования

Информационные события Агента администрирования
В начало
[Topic 184667]

События отказа функционирования Агента администрирования

В таблице ниже приведены события Сервера администрирования Kaspersky Security Center Linux с уровнем важности Отказ функционирования.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

События отказа функционирования Агента администрирования

Отображаемое имя типа события

Идентификатор типа события

Тип события

Описание

Срок хранения по умолчанию

Ошибка при установке обновления

7702

KLNAG_EV_PATCH_INSTALL_ERROR

События этого типа возникают, если автоматическая установка обновлений и патчей для компонентов Kaspersky Security Center Linux прошла неуспешно. Событие не относится к обновлениям управляемых приложений "Лаборатории Касперского".

Прочтите описание события. Причиной этого события может быть проблема операционной системы Windows на Сервере администрирования. Если в описании упоминается какая-либо проблема конфигурации Windows, устраните эту проблему.

30 дней

Не удалось установить обновление стороннего производителя

7697

KLNAG_EV_3P_PATCH_INSTALL_ERROR

События этого типа возникают, если используются возможности Системного администрирования, и если обновление программного обеспечения сторонних производителей прошло неуспешно.

Проверьте, корректна ли ссылка на приложение стороннего производителя. Прочтите описание события.

30 дней

Не удалось установить обновления Центра обновления Windows

7717

KLNAG_EV_WUA_INSTALL_ERROR

События этого типа возникают, если обновления Центра обновления Windows были неуспешными.

Прочтите описание события. Поищите описание ошибки в базе знаний Microsoft. Обратитесь в службу технической поддержки Microsoft, если вы не можете решить проблему самостоятельно.

30 дней

См. также:

События предупреждения Агента администрирования

Информационные события Агента администрирования
В начало
[Topic 165484]

События предупреждения Агента администрирования

В таблице ниже приведены события Агента администрирования с уровнем важности Предупреждение.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

События предупреждения Агента администрирования

Отображаемое имя типа события

Идентификатор типа события

Тип события

Описание

Срок хранения по умолчанию

Произошла проблема безопасности

549

GNRL_EV_APP_INCIDENT_OCCURED

События этого типа возникают при обнаружении инцидента на устройстве. Например, это событие возникает, когда на устройстве мало места на диске.

30 дней

Прокси-сервер KSN был запущен. Не удалось проверить доступность KSN

7718

KSNPROXY_STARTED_CON_CHK_FAILED

События этого типа возникают при сбое тестового соединения для настроенного подключения прокси-сервера KSN.

30 дней

Установка обновления стороннего программного обеспечения отложена

7698

KLNAG_EV_3P_PATCH_INSTALL_SLIPPED

Например, события этого типа возникают, когда отклоняется Лицензионное соглашение для установки обновлений приложений сторонних производителей.

30 дней

Установка обновления стороннего ПО завершена с предупреждением

7696

KLNAG_EV_3P_PATCH_INSTALL_WARNING

Скачайте файлы трассировки и проверьте значение поля KLRI_PATCH_RES_DESC.

30 дней

Возвращено предупреждение во время установки обновления модулей приложений

7701

KLNAG_EV_PATCH_INSTALL_WARNING

Скачайте файлы трассировки и проверьте значение поля KLRI_PATCH_RES_DESC.

30 дней

См. также:

События отказа функционирования Агента администрирования

Информационные события Агента администрирования
В начало
[Topic 173538]

Информационные события Агента администрирования

В таблице ниже приведены события Агента администрирования с уровнем важности Информационное сообщение.

Для каждого события, которое может генерировать приложение, можно указать параметры уведомлений и параметры хранения на вкладке Настройка событий в свойствах политики приложения. Если вы хотите настроить параметры уведомлений сразу для всех событий, настройте общие параметры уведомлений в свойствах Сервера администрирования.

Информационные события Агента администрирования

Отображаемое имя типа события

Идентификатор типа события

Тип события

Срок хранения по умолчанию

Установлено приложение

7703

KLNAG_EV_INV_APP_INSTALLED

30 дней

Приложение удалено

7704

KLNAG_EV_INV_APP_UNINSTALLED

30 дней

Установлено наблюдаемое приложение

7705

KLNAG_EV_INV_OBS_APP_INSTALLED

30 дней

Удалено наблюдаемое приложение

7706

KLNAG_EV_INV_OBS_APP_UNINSTALLED

30 дней

Новое устройство добавлено

7708

KLNAG_EV_DEVICE_ARRIVAL

30 дней

Устройство удалено

7709

KLNAG_EV_DEVICE_REMOVE

30 дней

Обнаружено новое устройство

7710

KLNAG_EV_NAC_DEVICE_DISCOVERED

30 дней

Устройство авторизовано

7711

KLNAG_EV_NAC_HOST_AUTHORIZED

30 дней

Прокси-сервер KSN был запущен. Проверка доступности KSN прошла успешно

7719

KSNPROXY_STARTED_CON_CHK_OK

30 дней

Прокси-сервер KSN остановлен

7720

KSNPROXY_STOPPED

30 дней

Установлено стороннее приложение

7707

KLNAG_EV_INV_CMPTR_APP_INSTALLED

30 дней

Обновление для приложений стороннего производителя установлено успешно

7694

KLNAG_EV_3P_PATCH_INSTALLED_SUCCESSFULLY

30 дней

Запущена установка обновления стороннего ПО

7695

KLNAG_EV_3P_PATCH_INSTALL_STARTING

30 дней

Запущена установка обновления модулей приложений

7700

KLNAG_EV_PATCH_INSTALL_STARTING

30 дней

Совместный доступ к рабочему столу Windows: приложение было запущено

7714

KLUSRLOG_EV_PROCESS_LAUNCHED

30 дней

Совместный доступ к рабочему столу Windows: файл был изменен

7713

KLUSRLOG_EV_FILE_MODIFIED

30 дней

Совместный доступ к рабочему столу Windows: файл был прочитан

7712

KLUSRLOG_EV_FILE_READ

30 дней

Совместный доступ к рабочему столу Windows: предоставлен

7715

KLUSRLOG_EV_WDS_BEGIN

30 дней

Совместный доступ к рабочему столу Windows: завершен

7716

KLUSRLOG_EV_WDS_END

30 дней

См. также:

События отказа функционирования Агента администрирования

События предупреждения Агента администрирования
В начало
[Topic 173727]

Использование выборок событий

Выборки событий предназначены для просмотра на экране именованных наборов событий, которые выбраны из базы данных Сервера администрирования. Эти типы событий сгруппированы по следующим категориям:

  • Уровень важности: Критические события, Отказы функционирования, Предупреждения и Информационные события.
  • Время: Последние события.
  • Тип: Запросы пользователей и События аудита.

Вы можете создавать и просматривать определенные пользователем выборки событий на основе параметров, доступных для настройки в интерфейсе Kaspersky Security Center Web Console.

Выборки событий доступны в Kaspersky Security Center Web Console в разделе Мониторинг и отчетыВыборки событий.

По умолчанию выборки событий включают информацию за последние семь дней.

Kaspersky Security Center Linux имеет набор выборок (предопределенных) по умолчанию:

  • События с разным уровнем важности:
    • Критические события.
    • Отказ функционирования.
    • Предупреждения.
    • Информационные сообщения.
  • Запросы пользователей (события управляемых приложений).
  • Последние события (за последнюю неделю).
  • События аудита.

Вы можете также создавать и настраивать дополнительные пользовательские выборки событий. В пользовательских выборках вы можете фильтровать события по свойствам устройств, в которых они возникли (по именам устройств, IP-диапазонам и группам администрирования), по типам событий и уровням важности, по названию приложения и компонента, а также по временному интервалу. Также можно включить результаты задачи в область поиска. Вы также можете использовать поле поиска, в котором можно ввести слово или несколько слов. Отображаются все события, содержащие любые введенные слова в любом месте их свойств (таких как имя события, описание, имя компонента).

Как для предопределенных выборок, так и для пользовательских выборок вы можете ограничить количество отображаемых событий или количество записей для поиска. Оба варианта влияют на время, за которое Kaspersky Security Center Linux отображает события. Чем больше база данных, тем более трудоемким может быть процесс.

Вы можете выполнить следующее:

См. также:

Выборки устройств
В начало
[Topic 166234]

Создание выборки событий

Чтобы создать выборку событий:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыВыборки событий.
  2. Нажмите на кнопку Добавить.
  3. В открывшемся окне Новая выборка событий укажите параметры новой выборки событий. Параметры можно указать в нескольких разделах этого окна.
  4. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

    Откроется окно подтверждения.

  5. Чтобы просмотреть результат выборки событий, установите флажок Перейти к результату выборки.
  6. Нажмите на кнопку Сохранить, чтобы подтвердить создание выборки событий.

Если был установлен флажок Перейти к результату выборки, результат выборки событий будет отображен на экране. В противном случае новая выборка событий появится в списке выборок событий.

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 176385]

Изменение выборки событий

Чтобы изменить выборку событий:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Выборки событий.
  2. Установите флажок напротив выборки событий, которую требуется изменить.
  3. Нажмите на кнопку Свойства.

    Откроется окно свойств выборки событий.

  4. Отредактируйте свойства выборки событий.

    Для стандартной выборки событий можно редактировать свойства только на следующих вкладках: Общие (за исключением имени выборки), Время и Права доступа.

    Для пользовательских выборок можно изменять все свойства.

  5. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Измененная выборка событий отображается в списке.

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 177708]

Просмотр списка выборки событий

Просмотр выборки событий:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Выборки событий.
  2. Установите флажок напротив выборки событий, которую требуется запустить.
  3. Выполните одно из следующих действий:
    • Чтобы настроить сортировку для результатов выборки событий:
      1. Нажмите на кнопку Изменить сортировку и запустить.
      2. В отобразившемся окне Изменить сортировку для выборки событий укажите параметры сортировки.
      3. Нажмите на имя выборки.
    • В противном случае, если вы хотите просмотреть список событий так, как они хранятся на Сервере администрирования, нажмите на название выборки.

Отобразится результат выборки событий.

Результат выборки событий.

Результат выборки событий

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 176415]

Экспорт выборки событий

Kaspersky Security Center Linux позволяет сохранить выборку событий и ее параметры в файл KLO. Вы можете использовать файл KLO для импорта сохраненной выборки событий как в Kaspersky Security Center Windows, так и в Kaspersky Security Center Linux.

Обратите внимание, что можно удалять только определенные пользователем выборки событий. Набор выборок событий, заданных по умолчанию в Kaspersky Security Center Linux (предопределенные выборки), не может быть сохранен в файл.

Чтобы экспортировать выборку событий:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Выборки событий.
  2. Установите флажок напротив выборки событий, которую требуется экспортировать.

    Невозможно экспортировать несколько выборок событий одновременно. Если вы выберете более одной выборки, кнопка Экспортировать будет неактивна.

  3. Нажмите на кнопку Экспортировать.
  4. В открывшемся окне Сохранить как укажите имя и путь к файлу выборки событий, а затем нажмите на кнопку Сохранить.

    Окно Сохранить как отображается только в том случае, если вы используете Google Chrome, Microsoft Edge или Opera. Если вы используете другой браузер, файл выборки событий автоматически сохраняется в папку Загрузки.

В начало
[Topic 236067]

Импорт выборки событий

Kaspersky Security Center Linux позволяет импортировать выборку событий из файла KLO. Файл KLO содержит экспортированную выборку событий и ее параметры.

Чтобы импортировать выборку событий:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Выборки событий.
  2. Нажмите на кнопку Импортировать, чтобы выбрать файл выборки событий, который вы хотите импортировать.
  3. В открывшемся окне укажите путь к файлу KLO и нажмите на кнопку Открыть. Обратите внимание, что вы можете выбрать только один файл выборки событий.

    Начнется обработка выборки событий.

Появится уведомление с результатами импорта. Если выборка событий импортирована, вы можете перейти по ссылке Просмотреть сведения об импорте, чтобы просмотреть свойства выборки.

После успешного импорта выборка событий отображается в списке выборок. Также импортируются параметры выборки событий.

Если имя новой импортированной выборки событий идентично имени существующей выборки, имя импортированной выборки расширяется с помощью окончания вида (<порядковый номер>), например: (1), (2).

В начало
[Topic 236654]

Просмотр информации о событии


Чтобы просмотреть детальную информацию о событии:

  1. Запустите выборку событий.
  2. Нажмите на требуемое событие.

    Откроется окно Свойства события.

  3. В открывшемся окне можно выполнить следующие действия:
    • Просмотреть информацию выбранного события.
    • Перейти к следующему или к предыдущему событию в списке – результате выборки событий.
    • Перейти к устройству, на котором возникло событие.
    • Перейти к группе администрирования, содержащей устройство, на котором возникло событие.
    • Для события, связанного с задачей, перейдите в свойства задачи.

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 171287]

Экспорт событий в файл

Чтобы экспортировать события в файл:

  1. Запустите выборку событий.
  2. Установите флажок рядом с требуемым событием.
  3. Нажмите на кнопку Экспортировать в файл.

Выбранные события экспортированы в файл.

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 178646]

Просмотр истории объекта из события

Из события создания или события изменения объекта, которое поддерживает управление ревизиями, вы можете перейти к истории ревизий объекта.

Чтобы просмотреть историю объекта из события:

  1. Запустите выборку событий.
  2. Установите флажок рядом с требуемым событием.
  3. Нажмите на кнопку История ревизий.

Откроется история ревизий объекта.

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 177727]

Удаление событий

Чтобы удалить одно или несколько событий:

  1. Запустите выборку событий.
  2. Установите флажки рядом с требуемыми событиями.
  3. Нажмите на кнопку Удалить.

Выбранные события удалены и не могут быть восстановлены.

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 178626]

Удаление выборок событий

Можно удалять только пользовательские выборки событий. Предопределенные выборки событий невозможно удалить.

Чтобы удалить выборки событий:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Выборки событий.
  2. Установите флажки напротив выборок событий, которые требуется удалить.
  3. Нажмите на кнопку Удалить.
  4. В появившемся окне нажмите на кнопку ОК.

Выборка событий будет удалена.

См. также:

Сценарий: мониторинг и отчеты
В начало
[Topic 176418]

Настройка срока хранения события

Kaspersky Security Center Linux позволяет получать информацию о событиях, произошедших в процессе работы Сервера администрирования и приложений "Лаборатории Касперского", установленных на управляемых устройствах. Информация о событиях сохраняется в базе данных Сервера администрирования. Возможно, вам нужно хранить некоторые события в течение более длительного или более короткого периода, чем указано по умолчанию. Вы можете изменить срок хранения события по умолчанию.

Если вас не интересует сохранение каких-либо событий в базе данных Сервера администрирования, вы можете выключить соответствующий параметр в политике Сервера администрирования, политике приложения "Лаборатории Касперского" или в свойствах Сервера администрирования (только для событий Сервера администрирования). Это уменьшит количество типов событий в базе данных.

Чем больше срок хранения события, тем быстрее база данных достигает максимального размера. Однако более длительный срок хранения события позволяет выполнять задачи мониторинга и просматривать отчеты в течение более длительного периода.

Чтобы задать срок хранения события в базе данных Сервера администрирования:

  1. В главном окне приложения перейдите в раздел Активы (Устройства)Политики и профили политик.
  2. Выполните одно из следующих действий:
    • Чтобы настроить срок хранения событий Агента администрирования или управляемого приложения "Лаборатории Касперского" нажмите на имя соответствующей политики.

      Откроется страница свойств политики.

    • Чтобы настроить события Сервера администрирования, в главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

      Если у вас есть политика для Сервера администрирования, вы можете нажать на название этой политики.

      Откроется страница свойств Сервера администрирования (или страница свойств политики Сервера администрирования).

  3. Выберите вкладку Настройка событий.

    Отображается раздел Критическое со списком связанных событий.

  4. Выберите раздел Отказ функционирования, Предупреждение или Информационное сообщение.
  5. В списке типов событий на правой панели перейдите по ссылке с названием события, срок хранения которого вы хотите изменить.

    В открывшемся окне в разделе Регистрация событий включите параметр Хранить в базе данных Сервера администрирования в течение (сут).

  6. В поле редактирования под переключателем укажите количество дней для сохранения события.
  7. Если вы не хотите сохранять событие в базе данных Сервера администрирования, выключите параметр Хранить в базе данных Сервера администрирования в течение (сут).

    Если вы настраиваете события Сервера администрирования в окне свойств Сервера администрирования и если параметры событий заблокированы в политике Сервера администрирования Kaspersky Security Center, вы не сможете изменить значение срока хранения события.

  8. Нажмите на кнопку ОК.

    Окно свойств политики закроется.

Теперь, когда Сервер администрирования получает и сохраняет события выбранного типа, они будут иметь измененный срок хранения. Сервер администрирования не изменяет срок хранения ранее полученных событий.

В начало
[Topic 178622]

Блокировка частых событий

В этом разделе представлена информация об управлении блокировкой частых событий и об отмене блокировки частых событий.

В этом разделе

О блокировке частых событий

Управление блокировкой частых событий

Отмена блокировки частых событий
В начало
[Topic 212870]

О блокировке частых событий

Управляемое приложение, например Kaspersky Endpoint Security для Linux, установленное на одном или нескольких управляемых устройствах, может отправлять на Сервер администрирования множество однотипных событий. Прием частых событий может привести к перегрузке базы данных Сервера администрирования и перезаписи других событий. Сервер администрирования начинает блокировать наиболее частые события, когда количество всех полученных событий превышает установленное ограничение для базы данных.

Сервер администрирования автоматически блокирует получение частых событий. Вы не можете заблокировать частые события самостоятельно или выбрать, какие события заблокировать.

Чтобы узнать, заблокировано ли событие, вы можете просмотреть список уведомлений или просмотреть, присутствует ли это событие в свойствах Сервера администрирования в разделе Блокировка частых событий. Если событие заблокировано, можно выполнить следующие действия:

  • Если вы хотите предотвратить перезапись базы данных, вы можете продолжать блокировать получение событий такого типа.
  • Если вы хотите, например, выяснить причину отправки частых событий на Сервер администрирования, вы можете разблокировать частые события и в любом случае продолжить получение событий этого типа.
  • Если вы хотите продолжать получать частые события до тех пор, пока они снова не будут заблокированы, вы можете отменить блокировку частых событий.

В начало
[Topic 212440]

Управление блокировкой частых событий

Сервер администрирования автоматически блокирует получение частых событий, но вы можете разблокировать и продолжать получать частые события. Также можно заблокировать получение частых событий, которые вы разблокировали ранее.

Чтобы управлять блокировкой частых событий:

  1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

    Откроется окно свойств Сервера администрирования.

  2. На вкладке Общие выберите раздел Блокировка частых событий.
  3. В разделе Блокировка частых событий:
    • Если вы хотите разблокировать прием частых событий:
      1. Выберите частые события, который нужно разблокировать, и нажмите на кнопку Исключить.
      2. Нажмите на кнопку Сохранить.
    • Если вы хотите заблокировать прием частых событий:
      1. Выберите частые события, которые вы хотите заблокировать и нажмите на кнопку Заблокировать.
      2. Нажмите на кнопку Сохранить.

Сервер администрирования принимает разблокированные частые события и не принимает заблокированные частые события.

В начало
[Topic 212657]

Отмена блокировки частых событий

Вы можете отменить блокировку частых событий и начать получение событий до тех пор, пока Сервер администрирования снова не заблокирует эти частые события.

Чтобы отменить блокировку частых событий:

  1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

    Откроется окно свойств Сервера администрирования.

  2. На вкладке Общие выберите раздел Блокировка частых событий.
  3. В разделе Блокировка частых событий нажмите строку частого события, для которого вы хотите отменить блокировку.
  4. Нажмите на кнопку Отменить блокировку.

Частое событие удаляется из списка частых событий. Сервер администрирования будет получать события этого типа.

В начало
[Topic 212658]

Обработка и хранение событий на Сервере администрирования

Информация о событиях, возникших в работе приложения и управляемых устройств, сохраняется в базе данных Сервера администрирования. Каждое событие относится к определенному типу и уровню важности (Критическое событие, Отказ функционирования, Предупреждение, Информационное сообщение). В зависимости от условий, при которых произошло событие, приложение может присваивать событиям одного типа разные уровни важности.

Вы можете просматривать типы и уровни важности событий в разделе Настройка событий окна свойств Сервера администрирования. В разделе Настройка событий вы также можете настроить параметры обработки каждого события Сервером администрирования:

  • регистрацию событий на Сервере администрирования и в журналах событий операционной системы на устройстве и на Сервере администрирования;
  • способ уведомления администратора о событии (например, SMS, сообщение электронной почты).

В разделе Хранилище событий окна свойств Сервера администрирования можно настроить параметры хранения событий в базе данных Сервера администрирования: ограничить количество записей о событиях и время хранения записей. Когда вы указываете максимальное количество событий, приложение вычисляет приблизительный размер дискового пространства для хранения указанного числа событий. Вы можете использовать этот расчет, чтобы оценить, достаточно ли у вас свободного дискового пространства, чтобы избежать переполнения базы данных. По умолчанию емкость базы данных Сервера администрирования – 400 000 событий. Максимальная рекомендованная емкость базы данных – 45 000 000 событий.

Приложение проверяет базу данных каждые 10 минут. Если количество событий достигает на 10 000 больше указанного максимального значения, приложение удаляет самые старые события, чтобы осталось только указанное максимальное количество событий.

Когда Сервер администрирования удаляет старые события, он не может сохранять новые события в базе данных. В течение этого периода информация о событиях, которые были отклонены, записывается в журнал событий операционной системы. Новые события помещаются в очередь, а затем сохраняются в базе данных после завершения операции удаления. По умолчанию очередь событий ограничена 20 000 событиями. Вы можете настроить ограничение очереди, изменив значение флага KLEVP_MAX_POSTPONED_CNT.

В начало
[Topic 30023]