Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате RAW, записи журнала о событиях выглядят следующим образом:
<%PRIORITY%>1 %TIMESTAMP% %HTTP_SERVICE_IP% KasperskyHTTPService %HTTP_SERVICE_PID% %MESSAGE_ID% - BOM %MESSAGE%\n
Запись имеет следующие поля:
%PRIORITY%Уровень критичности события. Возможные значения:
163Это значение указывается для ошибок.
165Это значение указывается, если результат сканирования отличен от CLEAN.
166Это значение указывается для служебных событий или если результат сканирования – CLEAN.
%TIMESTAMP%Дата и время события в часовом поясе всемирного координированного времени (UTC).
%HTTP_SERVICE_IP%IP-адрес, который Kaspersky Scan Engine использует для получения запросов на сканирование от клиентов. Если Kaspersky Scan Engine получает запросы на сканирование через UNIX-сокет, в поле указывается имя хоста компьютера, на котором работает Kaspersky Scan Engine.
%HTTP_SERVICE_PID%PID Kaspersky Scan Engine.
%MESSAGE_ID%Класс события. Возможные значения:
AUDIT_MESSAGEСобытие аудита.
SERVICE_MESSAGEСлужебное событие.
ERROR_MESSAGEОшибка.
SCAN_RESULT_CLEAN_MESSAGEПросканированный объект считается безопасным.
SCAN_RESULT_DETECT_MESSAGEОбнаружена угроза.
SCAN_RESULT_OTHER_MESSAGEОбъект не просканирован.
%MESSAGE%Описание события. Например, текст сообщения об ошибке.