- 關於 Kaspersky Security for Windows Server
- 新增功能
- 有關 Kaspersky Security for Windows Server 的資訊來源
- Kaspersky Security for Windows Server
- Kaspersky Endpoint Agent
- 安裝和移除應用程式
- 適用於 Windows Installer 服務的 Kaspersky Security for Windows Server 軟體元件程式碼
- Kaspersky Security for Windows Server 安裝後的系統變更
- Kaspersky Security for Windows Server 處理程序
- Windows Installer 服務的安裝和移除設定及命令列選項
- Kaspersky Security for Windows Server 安裝和移除記錄
- 安裝排程
- 基於精靈安裝和移除應用程式
- 透過命令列安裝或移除應用程式
- 使用卡巴斯基安全管理中心安裝和移除應用程式
- 透過 Active Directory 群組政策安裝和移除
- 檢查 Kaspersky Security for Windows Server 功能。使用 EICAR 測試病毒
- 應用程式介面
- 應用程式產品授權
- 使用管理外掛程式
- 使用 Kaspersky Security for Windows Server 主控台
- 從 Web 主控台和雲端主控台使用 Web 外掛程式
- 小型診斷視窗
- 更新 Kaspersky Security for Windows Server 資料庫和軟體模組
- 隔離物件和複製備份
- 事件註冊。Kaspersky Security for Windows Server 記錄
- 通知設定
- 啟動和停止 Kaspersky Security for Windows Server
- Kaspersky Security for Windows Server 自我防護
- 關於 Kaspersky Security for Windows Server 自我防護
- 防止包含已安裝的 Kaspersky Security for Windows Server 元件的資料夾被變更
- 防止 Kaspersky Security for Windows Server 登入機碼被變更
- 將 Kaspersky Security 服務註冊為受防護服務
- 管理 Kaspersky Security for Windows Server 功能的存取權限
- 即時檔案防護
- 指令碼監控
- KSN 使用
- 網路威脅防護
- 流量安全
- 加密勒索軟體防護
- 應用程式啟動控制
- 裝置控制
- 防火牆管理
- 檔案完整性監控
- 記錄審查
- 自訂掃描
- 信任區域
- 弱點利用防禦
- 分級儲存管理
- 網路附加儲存防護
- 將 Kaspersky Security for Windows Server 與網路附加儲存整合
- 使用 Kaspersky Security for Windows Server 主控台
- Celerra / VNX 群組的 EMC 網路附加儲存防護
- RPC 網路儲存防護
- ICAP 網路儲存防護
- 用於 NetApp 的加密勒索軟體防護
- 透過卡巴斯基安全管理中心管理網路附加儲存防護工作
- 與協力廠商系統整合
- 從命令列使用 Kaspersky Security for Windows Server
- 指令
- 顯示 Kaspersky Security for Windows Server 指令說明:KAVSHELL HELP
- 啟動和停止 Kaspersky Security 服務:KAVSHELL START,KAVSHELL STOP
- 掃描指定區域:KAVSHELL SCAN
- 啟動“關鍵區域掃描”工作:KAVSHELL SCANCRITICAL
- 非同步管理工作:KAVSHELL TASK
- 刪除 PPL 內容:KAVSHELL CONFIG
- 啟動和停止即時伺服器防護工作:KAVSHELL RTP
- 管理應用程式啟動控制工作:KAVSHELL APPCONTROL /CONFIG
- 應用程式啟動控制規則產生器:KAVSHELL APPCONTROL /GENERATE
- 填寫應用程式啟動控制規則清單:KAVSHELL APPCONTROL
- 填寫裝置控制規則清單:KAVSHELL DEVCONTROL
- 啟動“資料庫更新”工作:KAVSHELL UPDATE
- 回溯 Kaspersky Security for Windows Server 資料庫更新:KAVSHELL ROLLBACK
- 管理記錄審查:KAVSHELL TASK LOG-INSPECTOR
- 啟動應用程式:KAVSHELL LICENSE
- 啟用、設定和停用偵錯記錄:KAVSHELL TRACE
- 對 Kaspersky Security for Windows Server 記錄檔案進行磁碟整理:KAVSHELL VACUUM
- 清理 iSwift 資料庫:KAVSHELL FBRESET
- 啟用和停用建立 Dump 檔案:KAVSHELL DUMP
- 匯入設定:KAVSHELL IMPORT
- 匯出設定:KAVSHELL EXPORT
- 與 Microsoft Operations Management Suite 整合:KAVSHELL OMSINFO
- 管理“基線檔案完整性監控”工作:KAVSHELL FIM /BASELINE
- 指令回傳代碼
- KAVSHELL START 和 KAVSHELL STOP 指令的回傳代碼
- KAVSHELL SCAN 和 KAVSHELL SCANCRITICAL 指令的回傳代碼
- KAVSHELL TASK LOG-INSPECTOR 指令的回傳代碼
- KAVSHELL TASK 指令的回傳代碼
- KAVSHELL RTP 指令的回傳代碼
- KAVSHELL UPDATE 指令的回傳代碼
- KAVSHELL ROLLBACK 指令的回傳代碼
- KAVSHELL LICENSE 指令的回傳代碼
- KAVSHELL TRACE 指令的回傳代碼
- KAVSHELL FBRESET 指令的回傳代碼
- KAVSHELL DUMP 指令的回傳代碼
- KAVSHELL IMPORT 指令的回傳代碼
- KAVSHELL EXPORT 指令的回傳代碼
- KAVSHELL FIM /BASELINE 指令的回傳代碼
- 指令
- 聯絡技術支援
- 詞彙表
- 有關協力廠商程式碼資訊
- 商標聲明
事件註冊。Kaspersky Security for Windows Server 記錄 > 在管理外掛程式中配置記錄設定 > 關於 SIEM 整合
關於 SIEM 整合
關於 SIEM 整合
為了減小低效能裝置上的負載和降低由於應用程式記錄大小增大而造成系統效能降級的風險,可以透過 Syslog 協定將稽核事件和工作效能事件的發佈配置到 syslog 伺服器。
syslog 伺服器是用於聚合事件 (SIEM) 的外部伺服器。它會儲存和分析收到的事件,並執行其他記錄管理操作。
可以在兩種模式中使用 SIEM 整合:
- 在 syslog 伺服器上複製事件:在此模式下,其發佈在記錄設定中進行配置的所有工作效能事件以及所有系統稽核事件,即使在傳送到 SIEM 伺服器後仍繼續儲存在受防護裝置上。
建議使用此模式以盡可能減少受防護裝置上的負載。
- 刪除事件的本機副本:在此模式下,在應用程式執行過程中註冊和發佈到 SIEM 的所有事件將從受防護裝置中刪除。
應用程式永遠不會刪除安全記錄的本機版本。
Kaspersky Security for Windows Server 可以將應用程式記錄中的事件轉換為 syslog 伺服器支援的格式,以便這些事件能夠被傳輸和被 SIEM 伺服器成功識別。應用程式支援轉換為結構化資料格式和 JSON 格式。
建議根據使用的 SIEM 伺服器的配置來選擇事件的格式。
可靠性設定
透過定義連線到映像 syslog 伺服器的設定,可以降低事件傳輸到 SIEM 伺服器不成功的風險。
映像 syslog 伺服器是一個額外的 syslog 伺服器,如果與主 syslog 伺服器的連線無法使用或不能使用主要伺服器,應用程式會自動轉換到該伺服器。
Kaspersky Security for Windows Server 還使用系統稽核事件來通知您嘗試連線 SIEM 伺服器不成功以及將事件傳送到 SIEM 伺服器時出錯。
文章 ID: 148502, 上次審閱: 2022年2月11日