Configuration des paramètres de journal dans le Plug-in d'administration
Vous pouvez modifier les paramètres suivants pour les journaux de Kaspersky Security for Windows Server :
Durée de la conservation des événements dans les journaux d'exécution des tâches et du journal d'audit système ;
Emplacement du dossier dans lequel Kaspersky Security for Windows Server enregistre les fichiers des journaux d'exécution de la tâche et du journal d'audit système.
Seuils de déclenchement des événements Bases de l'application dépassées, Bases de l'application fortement dépassées et Analyse rapide non réalisée depuis longtemps.
Événements consignés par Kaspersky Security for Windows Server dans les journaux d'exécution de la tâche, dans le journal d'audit système et dans le journal des événements de Kaspersky Security for Windows Server dans la console Observateur d'événements.
Paramètres de la publication des événements de l'audit et des événements des tâches exécutées via le protocole syslog sur le serveur syslog.
Pour configurer les journaux de Kaspersky Security for Windows Server, procédez comme suit :
Dans l'arborescence de la console de l'application, ouvrez le menu contextuel du nœud Journaux et notifications et choisissez l'option Propriétés.
La fenêtre Paramètres des journaux et notifications s'ouvre.
Dans la fenêtre Paramètres des journaux et notifications, configurez les journaux en fonction de vos exigences. Pour ce faire, procédez comme suit :
Sous l'onglet Général, sélectionnez, le cas échéant, les événements consignés par Kaspersky Security for Windows Server dans les journaux d'exécution de la tâche, dans le journal d'audit système et dans le journal des événements de Kaspersky Security for Windows Server dans la console Observateur d'événements. Pour ce faire, procédez comme suit :
Dans la liste Composant, sélectionnez le composant de Kaspersky Security for Windows Server pour lequel vous souhaitez indiquer le niveau de détails.
Pour les composants Protection des fichiers en temps réel, Protection RPC des stockages réseau connectés, Protection ICAP des stockages réseau connectés, Surveillance des scripts, Analyse à la demande et Mise à jour, les événements sont enregistrés dans les journaux d'exécution de la tâche et dans le journal des événements. Pour ces composants, le tableau de la liste des événements contient les colonnes Journal d'exécution de la tâche et Journal des événements Windows. Pour les composants Quarantaine et Sauvegarde, les événements sont enregistrés dans le journal d'audit système et dans le journal des événements. Pour ces composants, le tableau de la liste des événements contient les colonnes Audit et Journal des événements Windows.
La liste Niveau d'importance permet de sélectionner le niveau de détail des événements dans les journaux d'exécution des tâches, dans le journal d'audit système et dans le journal des événements pour le composant fonctionnel sélectionné.
Le tableau de la liste des événements en dessous reprend des cases cochées en regard des événements consignés dans les journaux d'exécution de la tâche, le journal d'audit système et le journal des événements en fonction du niveau de détail sélectionné.
Si vous souhaitez activer manuellement l'enregistrement d'événements distincts pour le module fonctionnel sélectionné, procédez comme suit :
Dans la liste Niveau d'importance, choisissez Personnalisé.
Dans le tableau de la liste des événements, cochez les cases en regard des événements dont vous souhaitez activer l'enregistrement dans les journaux d'exécution des tâches, le journal d'audit système et le journal des événements
Sous l'onglet Avancé, configurez les paramètres de stockage des journaux et les seuils de création des événements sur l'état de la protection du périphérique :
Chemin d'accès au dossier contenant les journaux, au format UNC (Universal Naming Convention).
Chemin par défaut : C:\ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\11\Reports\.
En cas de modification du chemin par défaut, un dossier portant le nom correspondant est créé. Le nouveau journal est stocké dans le nouveau dossier. Les anciens journaux sont conservés.
La case active ou désactive la fonction qui supprime les journaux contenant les résultats des tâches terminées et les événements publiés dans les journaux des tâches en cours d'exécution à l'issue de la période définie (par défaut : 30 jours).
Si la case est cochée, Kaspersky Security for Windows Server supprime les journaux des résultats des tâches terminées et les événements publiés dans les journaux d'exécution de la tâche à l'issue de la période définie.
La case active ou désactive la fonction qui supprime les événements enregistrés dans le journal d'audit système à l'issue de la période définie (par défaut : 60 jours).
Si la case est cochée, Kaspersky Security for Windows Server supprime les événements enregistrés dans le journal d'audit système à l'issue de la période définie.
Cette case est décochée par défaut.
Dans la section Seuils de déclenchement des événements :
Nombre de jours à l'issue desquels les événements Bases de l'application dépassées, Bases de l'application fortement dépassées et Analyse rapide non réalisée depuis longtempssont déclenchés.
Seuils de déclenchement des événements
Paramètre
Seuils de déclenchement des événements.
Description
Vous pouvez définir le seuil de déclenchement des événements des types suivants :
Bases de l'application dépassées et Bases de l'application fortement dépassées. Ces événements se déclenchent lorsque les bases de Kaspersky Security for Windows Server n'ont pas été actualisées durant la période (exprimée en jours) définie depuis la date de publication des mises à jour des bases de l'application les plus récentes. Vous pouvez configurer la notification de l'administrateur lorsque ces événements surviennent.
Analyse rapide non réalisée depuis longtemps. Cet événement se déclenche si aucune des tâches accompagnées de la case Considérer l'exécution de la tâche comme une analyse rapide n'a été exécutée au cours du nombre de jours indiqué.
Valeurs possibles
Nombre de jours compris entre 1 et 365.
Valeur par défaut
Les bases de l'application sont dépassées : 7 jours.
Les bases de l'application sont fortement dépassées : 14 jours.
Analyse rapide non réalisée depuis longtemps : 30 jours.
Sous l'onglet Intégration à SIEM, configurez les paramètres de publication des événements d'audit et de performance des tâches sur le serveur syslog.
Cliquez sur le bouton OK afin d'enregistrer les modifications.