Protokolleinstellungen über die Programmkonsole konfigurieren

Sie können folgenden Einstellungen der Protokolle von Kaspersky Embedded Systems Security für Windows anpassen:

• Aufbewahrungsdauer der Ereignisse in den Protokollen der Aufgabenausführung und im Systemaudit-Protokoll.
• Pfad des Ordners, in dem Kaspersky Embedded Systems Security für Windows die Log-Dateien der Protokolle der Aufgabenausführung und die Systemaudit-Protokolldatei speichert.
• Grenzwerte für Ereignisdarstellung von Programm-Datenbanken sind veraltet, Programm-Datenbanken sind stark veraltet und Untersuchung wichtiger Bereiche wurde lange nicht ausgeführt.
• Ereignisse, die Kaspersky Embedded Systems Security für Windows in den Protokollen der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisbericht von Kaspersky Embedded Systems Security für Windows in der Ereignisanzeige speichert.
• Einstellungen der Veröffentlichung der Audit-Ereignisse und der Ereignisse bei der Aufgabenausführung auf dem syslog-Server über das syslog-Protokoll.

So konfigurieren Sie die Protokolleinstellungen über die Programmkonsole:

1. Öffnen Sie in der Struktur der Programmkonsole das Kontextmenü für den Knoten Protokolle und Benachrichtigungen und wählen Sie den Punkt Eigenschaften aus.

   Das Fenster Einstellungen für Protokolle und Benachrichtigungen wird geöffnet.

2. Wählen Sie auf der Registerkarte Allgemein erforderlichenfalls jene Ereignisse aus, die Kaspersky Embedded Systems Security für Windows in den Protokollen der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisprotokoll von Kaspersky Embedded Systems Security für Windows in der Ereignisanzeige speichern soll.
   1. Wählen Sie in der Liste Komponente die Komponente von Kaspersky Embedded Systems Security für Windows, deren Genauigkeitsstufe für Ereignisse Sie festlegen möchten.
   2. Wählen Sie in der Liste Prioritätsstufe die Genauigkeitsstufe der Ereignisse in den Protokollen der Aufgabenausführung und im Systemaudit-Protokoll für die ausgewählte Funktionskomponente.

      In der untenstehenden Tabelle der Ereignisliste sind die Kontrollkästchen neben jenen Ereignissen aktiviert, die in Protokollen der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisprotokoll gemäß der ausgewählten Genauigkeitsstufe protokolliert werden.

   3. Wenn Sie die Registrierung bestimmter Ereignisse für eine ausgewählte Komponente oder Aufgabe manuell aktivieren möchten:
      1. Wählen Sie in der Liste Prioritätsstufe die Option Benutzerdefiniert aus.
      2. Aktivieren Sie in der Tabelle Ereignisliste die Kontrollkästchen neben jenen Ereignissen, für die Sie den Eintrag in das Protokoll der Aufgabenausführung, im Systemaudit-Protokoll und im Ereignisbericht aktivieren möchten.
3. Passen Sie auf der Registerkarte Erweitert die Einstellungen der Speicherung von Protokollen und die Grenzwerte für Ereignisdarstellung über den Schutzstatus des Geräts an:
   • Im Abschnitt Protokoll speichern:
     • Ordner für Protokolle
       

       Pfad zum Ordner mit Protokollen im UNC-Format (Universal Naming Convention).

       Standardpfad: C:\ProgramData\Kaspersky Lab\Kaspersky Embedded Systems Security\3.3\Reports\.

       Wenn sich der Standardpfad ändert, wird ein Ordner mit einem entsprechenden Namen erstellt. Die neuen Protokolle werden in dem neuen Ordner gespeichert. Die alten Protokolle bleiben erhalten.

     • Protokolle der Aufgabenausführung löschen, die älter sind als (Tage)
       

       Das Kontrollkästchen aktiviert/deaktiviert die Funktion, die Protokolle über die Ergebnisse beendeter Aufgaben und Ereignisse sowie die in den Protokollen veröffentlichten ausgeführten Aufgaben nach Ablauf der vorgegebenen Frist (als Standard gelten 30 Tage) löscht.

       Wenn dieses Kontrollkästchen aktiviert ist, löscht Kaspersky Embedded Systems Security für Windows nach Ablauf der vorgegebenen Frist die Protokolle über die Ergebnisse beendeter Aufgaben und Ereignisse sowie die in den Protokollen veröffentlichten ausgeführten Aufgaben.

       Das Kontrollkästchen ist in der Grundeinstellung aktiviert.

     • Ereignisse aus dem Systemaudit-Protokoll löschen, die älter sind als (Tage)
       

       Das Kontrollkästchen aktiviert/deaktiviert die Funktion, die im Systemaudit-Protokoll eingetragene Ereignisse nach Ablauf der vorgegebenen Frist (als Standard gelten 60 Tage) löscht.

       Wenn dieses Kontrollkästchen aktiviert ist, löscht Kaspersky Embedded Systems Security für Windows nach Ablauf der vorgegebenen Frist die im Systemaudit-Protokoll eingetragenen Ereignisse.

       Das Kontrollkästchen ist standardmäßig deaktiviert.

   • Geben Sie im Abschnitt Grenzwerte für Ereigniserstellung die Anzahl der Tage an, nach denen die Programm-Datenbanken sind veraltet, wenn die Programm-Datenbanken sind stark veraltet und die Untersuchung wichtiger Bereiche wurde lange nicht ausgeführt.
     

     Grenzwerte für Ereignisdarstellung

     Einstellung	Grenzwerte für Ereignisdarstellung
     Beschreibung	Sie können Grenzwerte für die Ereignisauslösung folgender Ereignisse einstellen: Programm-Datenbanken sind veraltet und Programm-Datenbanken sind stark veraltet. Diese Ereignisse treten auf, wenn die Datenbanken von Kaspersky Embedded Systems Security für Windows nicht innerhalb der von der Einstellung vorgegebenen Anzahl von Tagen seit dem Veröffentlichungsdatum des letzten installierten Datenbanken-Update aktualisiert werden. Sie können eine Benachrichtigung für Administrator einstellen, wenn das Ereignis entsteht. Untersuchung wichtiger Bereiche wurde lange nicht ausgeführt. Dieses Ereignis tritt ein, wenn innerhalb einer angegebenen Anzahl an Tagen keine der mit dem Kontrollkästchen Aufgabenausführung als Untersuchung wichtiger Bereiche betrachten markierten Aufgaben ausgeführt wurde.
     Mögliche Werte	Anzahl der Tage von 1 bis 365.
     Standardwert	Die Programm-Datenbanken sind veraltet – 7 Tage. Die Programm-Datenbanken sind stark veraltet – 14 Tage. Untersuchung wichtiger Bereiche des Computers wurde lange nicht ausgeführt – 30 Tage.

4. Passen Sie auf der Registerkarte SIEM-Integration die Einstellungen der Veröffentlichung von Audit-Ereignissen und Ereignissen bei der Aufgabenausführung auf dem syslog-Server an.
5. Klicken Sie auf OK, um die Änderungen zu speichern.