Ereignisse anzeigen
12. Dezember 2023
ID 201952
Ereignisse können wie folgt angezeigt werden:
- Im Ereignisprotokoll der App. Das Ereignisprotokoll befindet sich in dem Verzeichnis, das in der allgemeinen App-Einstellung
EventsStoragePathangegeben ist. Standardmäßig speichert die App die Informationen über Ereignisse in der Datenbank /var/opt/kaspersky/kesl/private/storage/events.db. Für den Zugriff auf die Ereignisdatenbank sind Root-Rechte erforderlich. - Wenn in den allgemeinen App-Einstellungen der Parameter
UseSysLogaufYessteht, werden Ereignisdaten auch ins syslog geschrieben. Für den Zugriff auf syslog sind Root-Rechte erforderlich. - Aktivieren Sie die Ausgabe der aktuellen Ereignisse der App mit dem Befehl
kesl-control -W. - Wenn Kaspersky Endpoint Security über Kaspersky Security Center verwaltet wird, werden möglicherweise Informationen zu Ereignissen an den Administrationsserver von Kaspersky Security Center übertragen. Für einige Ereignisse gelten Aggregationsregeln. Wenn während der Nutzung der App in kurzer Zeit viele Ereignisse desselben Typs generiert werden, wechselt die App in den Ereignisaggregationsmodus und sendet ein aggregiertes Ereignis mit einer Beschreibung der Parameter dieser Ereignisse an Kaspersky Security Center. Für unterschiedliche Ereignisse können unterschiedliche Aggregationsregeln verwendet werden. Der Administrator kann die Ausführung eines Skripts beim Erhalt eines Ereignisses aus der App oder das Versenden von Ereignisbenachrichtigungen per E-Mail konfigurieren. Nähere Informationen über Ereignisse finden Sie in der Dokumentation zu Kaspersky Security Center.
- Wenn die grafische Benutzeroberfläche (GUI) aktiviert ist, werden die Informationen über Ereignisse in den Berichten und Pop-ups der App angezeigt.
Um Informationen zu allen Ereignissen im Ereignisprotokoll abzurufen, führen Sie den folgenden Befehl aus:
kesl-control -E --query|less
Standardmäßig speichert die App bis zu 500.000 Ereignisse. Mit dem Tool less können Sie durch die Liste der angezeigten Ereignisse navigieren.
Sie können das Abfragesystem für den Ereignisspeicher der App verwenden, um bestimmte Ereignisse anzuzeigen.
Beim Erstellen einer Abfrage müssen Sie das erforderliche Feld angeben, des Vergleichsoperator auswählen und den gewünschten Wert festlegen. Dabei muss der Wert in einfachen Anführungszeichen(‘), die gesamte Abfrage in doppelten Anführungszeichen (") angegeben werden:
--query "<Feld> <Vergleichsoperator> '<Wert>' [and <Feld> <Vergleichsoperator> '<Wert>'*]"
Sie können den Datumswert als Unix-Zeitstempel (Anzahl der vergangenen Sekunden seit 1. Januar 1970, 00:00:00 Uhr (UTC)) oder im Format YYYY-MM-DD hh:mm:ss angeben. Der Datums- und Uhrzeitwert wird vom Benutzer angegeben und von der App in der Ortszeit des Benutzers angezeigt.
Beispiel für das Ereignis ThreatDetected:
|
Beispiele für Abfragen: Gibt alle Ereignisse unter Verwendung des "EventType"-Feldes zurück:
Gibt alle Ereignisse mit den entsprechenden Werten in den Feldern "EventType" und "FileName" zurück:
Abrufen von allen Ereignissen, die von der Aufgabe File_Threat_Protection nach einem bestimmten Datum generiert wurden (Angabe als UNIX-Zeitstempel, d. h. Anzahl der vergangenen Sekunden seit 1. Januar 1970, 00:00:00 Uhr (UTC)):
Alle Ereignisse anzeigen, die von der Aufgabe File_Threat_Protection nach dem angegebenen Datum im Format JJJJ-MM-TT hh:mm:ss generiert wurden:
|