Anpassen der Protokolleinstellungen im Verwaltungs-Plug-in
Sie können folgenden Einstellungen der Protokolle von Kaspersky Security für Windows Server anpassen:
Aufbewahrungsdauer der Ereignisse in den Protokollen der Aufgabenausführung und im Systemaudit-Protokoll.
Pfad des Ordners, in dem Kaspersky Security für Windows Server die Log-Dateien der Protokolle der Aufgabenausführung und die Systemaudit-Protokolldatei speichert.
Grenzwerte für Ereignisdarstellung von Programm-Datenbanken sind veraltet, Programm-Datenbanken sind stark veraltet und Untersuchung wichtiger Bereiche des Computers wurde lange nicht ausgeführt.
Ereignisse, die Kaspersky Security für Windows Server in den Protokollen der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisbericht von Kaspersky Security für Windows Server in der Ereignisanzeige speichert.
Einstellungen der Veröffentlichung der Audit-Ereignisse und der Ereignisse bei der Aufgabenausführung auf dem syslog-Server über das syslog-Protokoll.
Um die Berichte für Kaspersky Security für Windows Server anzupassen, gehen Sie wie folgt vor:
Öffnen Sie in der Struktur der Programmkonsole das Kontextmenü für den Knoten Protokolle und Benachrichtigungen und wählen Sie den Punkt Eigenschaften aus.
Das Fenster Einstellungen für Protokolle und Benachrichtigungen wird geöffnet.
Passen Sie im Fenster Einstellungen für Protokolle und Benachrichtigungen die Einstellungen für Protokolle nach Bedarf an. Gehen Sie hierzu wie folgt vor:
Wählen Sie auf der Registerkarte Allgemein erforderlichenfalls jene Ereignisse aus, die Kaspersky Security für Windows Server in den Protokollen der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisprotokoll von Kaspersky Security für Windows Server in der Ereignisanzeige speichern soll. Gehen Sie hierzu wie folgt vor:
Wählen Sie in der Liste Komponente die Komponente von Kaspersky Security für Windows Server, deren Genauigkeitsstufe für Ereignisse Sie festlegen möchten.
Für die Komponenten Echtzeitschutz für Dateien, Schutz von per RPC-Protokoll verbundenen Netzwerkspeichern, Schutz von per ICAP-Protokoll verbundenen Netzwerkspeichern, Skript-Untersuchung, Untersuchung auf Befehl und Update werden Ereignisse in den Protokollen der Aufgabenausführung und im Ereignisprotokoll aufgezeichnet. Für diese Komponenten enthält die Ereignistabelle die Spalten Protokoll der Aufgabenausführung und Windows-Ereignisprotokoll. Für die Komponenten Quarantäne und Backup werden die Ereignisse im Systemaudit-Protokoll und im Ereignisbericht protokolliert. Für diese Komponenten enthält die Ereignistabelle die Spalten Systemaudit und Windows-Ereignisprotokoll.
Wählen Sie in der Liste Prioritätsstufe die Genauigkeitsstufe der Ereignisse in den Protokollen der Aufgabenausführung und im Systemaudit-Protokoll für die ausgewählte Funktionskomponente.
In der untenstehenden Tabelle der Ereignisliste sind die Kontrollkästchen neben jenen Ereignissen aktiviert, die in Protokollen der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisprotokoll gemäß der ausgewählten Genauigkeitsstufe protokolliert werden.
Wenn Sie den Eintrag einzelner Ereignisse für die ausgewählte Funktionskomponente manuell aktivieren möchten, gehen Sie wie folgt vor:
Wählen Sie in der Liste Prioritätsstufe die Option Benutzerdefiniert aus.
Aktivieren Sie in der Tabelle Ereignisliste die Kontrollkästchen neben jenen Ereignissen, für die Sie den Eintrag in das Protokoll der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisbericht aktivieren möchten.
Passen Sie auf der Registerkarte Erweitert die Einstellungen der Speicherung von Protokollen und die Grenzwerte für Ereignisdarstellung über den Schutzstatus des Geräts an:
Pfad zum Ordner mit Protokollen im UNC-Format (Universal Naming Convention).
Standardpfad: C:\ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\11\Reports\.
Wenn sich der Standardpfad ändert, wird ein Ordner mit einem entsprechenden Namen erstellt. Die neuen Protokolle werden in dem neuen Ordner gespeichert. Die alten Protokolle bleiben erhalten.
Das Kontrollkästchen aktiviert/deaktiviert die Funktion, die Protokolle über die Ergebnisse beendeter Aufgaben und Ereignisse sowie die in den Protokollen veröffentlichten ausgeführten Aufgaben nach Ablauf der vorgegebenen Frist (als Standard gelten 30 Tage) löscht.
Wenn dieses Kontrollkästchen aktiviert ist, löscht Kaspersky Security für Windows Server nach Ablauf der vorgegebenen Frist die Protokolle über die Ergebnisse beendeter Aufgaben und Ereignisse sowie die in den Protokollen veröffentlichten ausgeführten Aufgaben.
Das Kontrollkästchen ist in der Grundeinstellung aktiviert.
Das Kontrollkästchen aktiviert/deaktiviert die Funktion, die im Systemaudit-Protokoll eingetragene Ereignisse nach Ablauf der vorgegebenen Frist (als Standard gelten 60 Tage) löscht.
Wenn dieses Kontrollkästchen aktiviert ist, löscht Kaspersky Security für Windows Server nach Ablauf der vorgegebenen Frist die im Systemaudit-Protokoll eingetragenen Ereignisse.
Das Kontrollkästchen ist standardmäßig deaktiviert.
Im Abschnitt Grenzwerte für Ereigniserstellung:
Geben Sie die Anzahl der Tage an, nach deren Ablauf die Ereignisse Programm-Datenbanken sind veraltet, Programm-Datenbanken sind stark veraltet und Untersuchung wichtiger Bereiche des Computers wurde lange nicht ausgeführteintreten.
Grenzwerte für Ereignisdarstellung
Einstellung
Grenzwerte für Ereignisdarstellung
Beschreibung
Sie können Grenzwerte für die Ereignisauslösung folgender Ereignisse einstellen:
Programm-Datenbanken sind veraltet und Programm-Datenbanken sind stark veraltet. Diese Ereignisse treten auf, wenn die Datenbanken von Kaspersky Security für Windows Server nicht innerhalb der von der Einstellung vorgegebenen Anzahl von Tagen seit dem Veröffentlichungsdatum des letzten installierten Datenbanken-Update aktualisiert werden. Sie können eine Benachrichtigung für Administrator einstellen, wenn das Ereignis entsteht.
Untersuchung wichtiger Bereiche des Computers wurde lange nicht ausgeführt. Dieses Ereignis tritt ein, wenn innerhalb einer angegebenen Anzahl an Tagen keine der mit dem Kontrollkästchen Aufgabenausführung als Untersuchung wichtiger Bereiche betrachten markierten Aufgaben ausgeführt wurde.
Mögliche Werte
Anzahl der Tage von 1 bis 365.
Standardwert
Die Programm-Datenbanken sind veraltet – 7 Tage.
Die Programm-Datenbanken sind stark veraltet – 14 Tage.
Untersuchung wichtiger Bereiche des Computers wurde lange nicht ausgeführt – 30 Tage.
Passen Sie auf der Registerkarte SIEM-Integration die Einstellungen der Veröffentlichung von Audit-Ereignissen und Ereignissen bei der Aufgabenausführung auf dem syslog-Server an.
Klicken Sie auf OK, um die Änderungen zu speichern.