Настройка параметров журналов с помощью Плагина управления
Вы можете настраивать следующие параметры журналов Kaspersky Security для Windows Server:
длительность хранения событий в журналах выполнения задач и журнале системного аудита;
местоположение папки, в которой Kaspersky Security для Windows Server сохраняет файлы журналов выполнения задач и журнала системного аудита;
пороги формирования событий Базы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась;
события, которые Kaspersky Security для Windows Server сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Security для Windows Server в оснастке Просмотр событий;
параметры публикации событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.
Чтобы настроить параметры журналов Kaspersky Security для Windows Server, выполните следующие действия:
В дереве Консоли программы откройте контекстное меню узла Журналы и уведомления и выберите пункт Свойства.
Откроется окно Параметры журналов и уведомлений.
В окне Параметры журналов и уведомлений настройте параметры журналов в соответствии с вашими требованиями. Для этого выполните следующие действия:
На закладке Общие, если требуется, выберите события, которые Kaspersky Security для Windows Server сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Security для Windows Server в оснастке Просмотр событий. Для этого выполните следующие действия:
В списке Компонент выберите компонент Kaspersky Security для Windows Server, уровень детализации событий которого вы хотите указать.
Для компонентов Постоянная защита файлов, Защита RPC-подключаемых сетевых хранилищ, Защита ICAP-подключаемых сетевых хранилищ, Проверка скриптов, Проверка по требованию и Обновление предусмотрена запись событий в журналы выполнения задач и в журнал событий. Для этих компонентов таблица событий содержит графы Журнал выполнения задачи и Журнал событий Windows. Для компонентов Карантин и Резервное хранилище события записываются в журнал системного аудита и журнал событий. Для этих компонентов таблица событий содержит графы Системный аудит и Журнал событий Windows.
В списке Уровень важности выберите уровень детализации событий в журналах выполнения задач, журнале системного аудита и журнале событий для выбранного компонента.
В таблице событий флажки установлены рядом с событиями, которые регистрируются в журналах выполнения задач, журнале системного аудита и журнале событий в соответствии с выбранным уровнем детализации.
Если вы хотите вручную включить запись отдельных событий для выбранного функционального компонента, выполните следующие действия:
В списке Уровень важности выберите Другой.
В таблице списка событий установите флажки рядом с теми событиями, запись которых в журналы выполнения задач, журнал системного аудита и журнал событий вы хотите включить.
На закладке Дополнительно настройте параметры хранения журналов и пороги формирования событий для состояния защиты устройства:
Путь к папке с журналами в формате UNC (Universal Naming Convention).
По умолчанию используется путь C:\ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\11\Reports\.
Если используемый по умолчанию путь изменился, создается папка с соответствующим именем. Новые файлы журналов будут сохранены в новую папку. Созданные ранее файлы журналов останутся в старой папке.
Флажок включает или выключает функцию, которая удаляет журналы выполнения завершенных задач и события, зарегистрированные в журналах выполняющихся задач, по истечении заданного периода времени (по умолчанию 30 дней).
Если флажок установлен, Kaspersky Security для Windows Server удаляет журналы выполнения завершенных задач и события, зарегистрированные в журналах выполняющихся задач, по истечении заданного периода времени.
Флажок включает или выключает функцию, которая удаляет события, зарегистрированные в журнале системного аудита, по истечении заданного периода времени (по умолчанию 60 дней).
Если флажок установлен, Kaspersky Security для Windows Server удаляет события, зарегистрированные в журнале системного аудита, по истечении заданного периода времени.
По умолчанию флажок снят.
В разделе Пороги формирования событий:
Укажите количество дней, по истечении которого будут регистрироваться событияБазы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась.
Пороги формирования событий
Параметр
Пороги формирования событий.
Описание
Вы можете указать пороги формирования событий следующих типов:
Базы программы устарели и Базы программы сильно устарели. События возникают, если базы Kaspersky Security для Windows Server не обновляются в течение указанного параметром количества дней с момента выпуска последних установленных обновлений баз. Вы можете настроить уведомление администратора об этих событиях.
Проверка важных областей защищаемого устройства давно не выполнялась. Событие возникает, если в течение указанного количества дней не выполняется ни одна из задач, отмеченных флажком Считать выполнение задачи проверкой важных областей.
Возможные значения
Количество дней от 1 до 365.
Значение по умолчанию
Базы программы устарели – 7 дней.
Базы программы сильно устарели – 14 дней.
Проверка важных областей давно не выполнялась – 30 дней.
На закладке Интеграция с SIEM настройте параметры публикации событий аудита и событий выполнения задач на syslog-сервере.