В этом разделе описано, как настроить логирование в режиме ICAP вручную без использования Kaspersky Scan Engine GUI.
В режиме ICAP Kaspersky Scan Engine может записывать свою активность. Параметры логирования задаются в файле конфигурации icapdkavlog.conf (далее – файл конфигурации логирования), расположенном в директории /opt/kaspersky/ScanEngine/bin.
Вы можете изменить параметры логирования после запуска службы kavicapd.
См. также подробные инструкции, как включить логирование.
Элементы файла конфигурации логирования
Logging – корневой элемент файла. Этот элемент имеет два дочерних элемента: DebugLogging и SyslogLogging.
Раздел DebugLogging
DebugLogging – это родительский элемент, который содержит параметры журналов, которые записываются непосредственно в файлы журналов и могут помочь идентифицировать сбои в работе службы.Этот элемент имеет следующие дочерние элементы.
Level – указывает уровень логирования. Возможные значения:
none или non Логирование выключено.
debug или dbgУровень отладки. На этом уровне логирования Kaspersky Scan Engine регистрирует информацию, которая может помочь в выявлении проблем, например об изменении состояния соединения с прокси-сервером или возвращаемых значениях функций Kaspersky Scan Engine.
Если вы включите уровень отладки журнала, учтите, что сообщения журнала будут содержать конфиденциальные данные.
Значение по умолчанию: none.
Target – родительский элемент для параметров, указывающих, куда должны записываться журналы.File – указывает, что журналы записываются непосредственно в файлы журналов. Он также определяет свойства файлов журнала. Этот элемент имеет следующие атрибуты:
size_limit – указывает максимально возможный размер файла журнала в мегабайтах (МБ).Если значение этого атрибута равно 0, размер файла журнала не ограничен.
Значение по умолчанию: 0.
folder – указывает директорию, в которой хранятся файлы журнала.Путь может быть абсолютным или относительным. Относительный путь определяется относительно директории, в которой расположен исполняемый файл kavicapd.
Значение по умолчанию: ./logs.
clear_folder – указывает, должен ли Kaspersky Scan Engine удалять старые журналы при инициализации.Kaspersky Scan Engine удаляет старые файлы журналов, только если значение этого параметра равно 1, yes, true, on или enabled. Если значение этого параметра равно 0, no, false, off или disabled, Kaspersky Scan Engine не удаляет старые файлы журналов. Обратите внимание, что Kaspersky Scan Engine проверяет этот параметр и удаляет журналы при запуске службы. Если значение этого параметра равно 1, yes, true, on или enabled, когда служба уже запущена, файлы журнала не удаляются до перезапуска службы.
Значение по умолчанию: 0.
Сгенерированные файлы журналов имеют следующие имена: icapdkav_<pid>_<date_time>_<log_number>.log, где <pid> – это PID процесса, <date_time> – локальная системная дата в формате YYYY-MM-DDhhmmss, а <log_number> – номер журнала (этот параметр добавляется к имени файла, только если файл журнала icapdkav_<pid>_<date_time>.log уже существует).
Раздел SyslogLogging
SyslogLogging – это родительский элемент, который содержит настройки для журналов, которые перенаправляются в syslogd. Этот элемент имеет следующие дочерние элементы:
SyslogEnabled – указывает, отправляет ли Kaspersky Scan Engine сообщения системного журнала.Возможные значения:
0, false, no, off или disabledВыключает отправку сообщений системного журнала.
Включает отправку сообщений системного журнала.
Если вы разрешаете отправку сообщений системного журнала, учтите, что эти сообщения будут содержать конфиденциальные данные, такие как личные данные, определенные GDPR, данные конфигурации продукта и информацию о лицензировании.
Syslog определяет параметры, относящиеся к сообщениям системного журнала. Этот элемент имеет следующие атрибуты:
destination – задает адрес назначения для сообщений системного журнала.Возможны следующие адреса назначения сканирования:
%PROTOCOL%%IP%:%PORT%, где %PROTOCOL% – это сетевой протокол (используйте tcp:// или udp:// для этого значения), %IP% – это IPv4-адрес, на который приходят сообщения системного журнала, %PORT% – это порт, который принимает сообщения системного журнала. Если вы не укажете протокол, как описано выше, KAV SDK будет использовать протокол UDP.localhost для перенаправления сообщения syslog демону syslog./var/log/kaspersky. Файл журнала с сообщениями системного журнала, созданный в ходе предыдущих сеансов, не удаляется, и ICAP-плагин добавляет в этот файл новую информацию.Если необходимо записывать журналы в разные места, вы можете указать несколько элементов Syslog. В этом случае значения атрибута destination этих элементов должны различаться.
format – указывает формат сообщений системного журнала.Возможные значения:
cef – указывает формат CEF сообщений системного журнала.raw – указывает формат RAW сообщений системного журнала. Значение raw используется, когда значение, указанное в этом элементе, не является cef или raw, или если в этом элементе не указано значение, или если файл конфигурации логирования не содержит параметр SyslogFormat.Syslog может иметь следующий дочерний элемент:
LoggedEvent – определяет события, которые необходимо зарегистрировать. Допускается указывать несколько значений LoggedEvent. Каждое из этих значений устанавливает тип события, которое будет зарегистрировано в местоположении, указанном в атрибуте destination.
Возможные значения:
Audit – указывает события аудита системы.Init – указывает события инициализации службы. Deinit – указывает события деинициализации службы и сторожевые события. Update – указывает события обновления и перезагрузки антивирусных баз.License – указывает события, связанные с лицензией.Engine - указывает события антивирусного движка. Эти события могут часто публиковаться.ScanResultClean – указывает события завершения сканирования, когда сканируемый объект считается безопасным.ScanResultDetect – указывает события завершения сканирования при обнаружении угрозы.ScanResultOther – указывает события завершения сканирования, когда объект не сканировался.Если элемент Syslog не содержит дочернего элемента LoggedEvent, регистрируются все события ICAP.
Если настройки Syslog неверны, логирование в указанное место назначения будет выключено.
Когда логирование системного журнала включено, также включается аудит системы. Если ни один из элементов SyslogEvents не содержит события Audit, настройки аудита системы устанавливаются следующим образом: для SyslogFormat задано значение raw, для SyslogTarget задано значение localhost, а для SyslogEvents задано значение audit.
Kaspersky Scan Engine может вести логи отладки и отправлять сообщения системного журнала одновременно или по отдельности.
Структура файла конфигурации логирования
Ниже приведен пример файла конфигурации логирования:
<?xml version="1.0"?> <Logging> <DebugLogging> <Level>debug</Level> <File size_limit="10" folder="./logs/scanevents" clear_folder="1"/> </DebugLogging> <SyslogLogging> <SyslogEnabled>1</SyslogEnabled> <Syslog destination="udp://192.168.1.1" format="cef"> <LoggedEvent>ScanResultClean</LoggedEvent> <LoggedEvent>ScanResultDetect</LoggedEvent> </Syslog> <Syslog destination="localhost" format="raw"> <LoggedEvent>ScanResultOther</LoggedEvent> </Syslog> <Syslog destination="/opt/kav/sdk8l3/logs" format="raw"> <LoggedEvent>Audit</LoggedEvent> <LoggedEvent>Engine</LoggedEvent> </Syslog> </SyslogLogging> </Logging> |