Настройка параметров журналов с помощью Плагина управления

Вы можете настраивать следующие параметры журналов Kaspersky Security для Windows Server:

длительность хранения событий в журналах выполнения задач и журнале системного аудита;
местоположение папки, в которой Kaspersky Security для Windows Server сохраняет файлы журналов выполнения задач и журнала системного аудита;
пороги формирования событий Базы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась;
события, которые Kaspersky Security для Windows Server сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Security для Windows Server в оснастке Просмотр событий;
параметры публикации событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.

Чтобы настроить параметры журналов Kaspersky Security для Windows Server, выполните следующие действия:

В дереве Консоли программы откройте контекстное меню узла Журналы и уведомления и выберите пункт Свойства.
Откроется окно Параметры журналов и уведомлений.

В окне Параметры журналов и уведомлений настройте параметры журналов в соответствии с вашими требованиями. Для этого выполните следующие действия:

На закладке Общие, если требуется, выберите события, которые Kaspersky Security для Windows Server сохраняет в журналах выполнения задач, журнале системного аудита и журнале событий Kaspersky Security для Windows Server в оснастке Просмотр событий. Для этого выполните следующие действия:
- В списке Компонент выберите компонент Kaspersky Security для Windows Server, уровень детализации событий которого вы хотите указать.
Для компонентов Постоянная защита файлов, Защита RPC-подключаемых сетевых хранилищ, Защита ICAP-подключаемых сетевых хранилищ, Проверка скриптов, Проверка по требованию и Обновление предусмотрена запись событий в журналы выполнения задач и в журнал событий. Для этих компонентов таблица событий содержит графы Журнал выполнения задачи и Журнал событий Windows. Для компонентов Карантин и Резервное хранилище события записываются в журнал системного аудита и журнал событий. Для этих компонентов таблица событий содержит графы Системный аудит и Журнал событий Windows.
- В списке Уровень важности выберите уровень детализации событий в журналах выполнения задач, журнале системного аудита и журнале событий для выбранного компонента.
  В таблице событий флажки установлены рядом с событиями, которые регистрируются в журналах выполнения задач, журнале системного аудита и журнале событий в соответствии с выбранным уровнем детализации.
- Если вы хотите вручную включить запись отдельных событий для выбранного функционального компонента, выполните следующие действия:
1. В списке Уровень важности выберите Другой.
2. В таблице списка событий установите флажки рядом с теми событиями, запись которых в журналы выполнения задач, журнал системного аудита и журнал событий вы хотите включить.

На закладке Дополнительно настройте параметры хранения журналов и пороги формирования событий для состояния защиты устройства:

В разделе Хранение журналов:
- Папка с журналами
  Путь к папке с журналами в формате UNC (Universal Naming Convention).
  
  По умолчанию используется путь C:\ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\11\Reports\.
  
  Если используемый по умолчанию путь изменился, создается папка с соответствующим именем. Новые файлы журналов будут сохранены в новую папку. Созданные ранее файлы журналов останутся в старой папке.
- Удалять события в журналах выполнения задач старше, чем (сут)
  Флажок включает или выключает функцию, которая удаляет журналы выполнения завершенных задач и события, зарегистрированные в журналах выполняющихся задач, по истечении заданного периода времени (по умолчанию 30 дней).
  
  Если флажок установлен, Kaspersky Security для Windows Server удаляет журналы выполнения завершенных задач и события, зарегистрированные в журналах выполняющихся задач, по истечении заданного периода времени.
  
  По умолчанию флажок установлен.
- Удалять события в журнале системного аудита старше, чем (сут)
  Флажок включает или выключает функцию, которая удаляет события, зарегистрированные в журнале системного аудита, по истечении заданного периода времени (по умолчанию 60 дней).
  
  Если флажок установлен, Kaspersky Security для Windows Server удаляет события, зарегистрированные в журнале системного аудита, по истечении заданного периода времени.
  
  По умолчанию флажок снят.

В разделе Пороги формирования событий:

Укажите количество дней, по истечении которого будут регистрироваться события Базы программы устарели, Базы программы сильно устарели и Проверка важных областей защищаемого устройства давно не выполнялась.

На закладке Интеграция с SIEM настройте параметры публикации событий аудита и событий выполнения задач на syslog-сервере.

Нажмите на кнопку OK, чтобы сохранить изменения.

В этом разделе

Об интеграции с SIEM

Настройка параметров интеграции с SIEM

В начало

Параметр	Пороги формирования событий.
Описание	Вы можете указать пороги формирования событий следующих типов: Базы программы устарели и Базы программы сильно устарели. События возникают, если базы Kaspersky Security для Windows Server не обновляются в течение указанного параметром количества дней с момента выпуска последних установленных обновлений баз. Вы можете настроить уведомление администратора об этих событиях. Проверка важных областей защищаемого устройства давно не выполнялась. Событие возникает, если в течение указанного количества дней не выполняется ни одна из задач, отмеченных флажком Считать выполнение задачи проверкой важных областей.
Возможные значения	Количество дней от 1 до 365.
Значение по умолчанию	Базы программы устарели – 7 дней. Базы программы сильно устарели – 14 дней. Проверка важных областей давно не выполнялась – 30 дней.