Consultation des événements
3 juillet 2024
ID 201952
Vous pouvez consulter les événements d'une des manières suivantes :
- Dans le journal des événements de l'application. Le journal des événements se trouve dans le répertoire spécifié par le paramètre d'application général
EventsStoragePath
. Par défaut, l'application enregistre les informations relatives aux événements dans la base de données /var/opt/kaspersky/kesl/private/storage/events.db. L'accès à la base de données des événements requiert les privilèges root. - Si la valeur
Yes
est attribuée au paramètreUseSysLog
dans les paramètres généraux de l'application, les données relatives aux événements sont enregistrées dans syslog. L'accès à syslog requiert les privilèges root. - Activer l'affichage des événements en cours de l'application à l'aide de la commande
kesl-control -W
. - Si Kaspersky Endpoint Security est administré par Kaspersky Security Center, les informations sur les événements peuvent être transmises au Serveur d'administration de Kaspersky Security Center. Certains événements ont des règles d'agrégation. Si de nombreux événements du même type sont générés pendant une courte période pendant le fonctionnement de l'application, l'application passe en mode d'agrégation d'événements et envoie un événement agrégé avec une description des paramètres de ces événements à Kaspersky Security Center. Différentes règles d'agrégation peuvent être utilisées pour différents événements. L'administrateur peut configurer l'exécution du script à la réception d'un événement depuis l'application ou à la réception d'une notification par email sur les événements. Pour en savoir plus sur les événements, reportez-vous à la documentation de Kaspersky Security Center.
- Si l'interface utilisateur graphique est activée, des informations sur les événements peuvent apparaître dans les rapports et dans les fenêtres contextuelles de l'application.
Pour obtenir des informations sur tous les événements dans le journal des événements, exécutez la commande suivante :
kesl-control -E --query|less
Par défaut, l'application stocke jusqu'à 500 000 événements. Vous pouvez utiliser l'utilitaire less
pour parcourir la liste des événements affichés.
Vous pouvez consulter certains événements concrets à l'aide du système d'interrogation du stockage d'événements de l'application.
Lorsque vous créez une requête, il faut remplir le champ requis, sélectionner l'expression de comparaison et définir la valeur requise. La valeur doit être spécifiée entre guillemets simples ('), tandis que la requête entière doit figurer entre guillemets doubles (") :
--query "<
champ
> <
opération de comparaison
> '<
valeur
>' [and <
champ
> <
opération de comparaison
> '<
valeur
>' *]"
Vous pouvez spécifier la valeur de date dans le système d'horodatage UNIX (nombre de secondes depuis le 1er janvier 1970, 00:00:00 (UTC)) ou au format AAAA-MM-JJ hh:mm:ss
. La valeur de date et d'heure est spécifiée par l'utilisateur et affichée par l'application dans l'heure locale de l'utilisateur.
Exemple d'événement ThreatDetected :
|
Exemples de requêtes: Obtenez tous les événements selon le champ EventType :
Obtenez tous les événements selon les champs EventType et FileName :
Obtenez tous les événements générés par la tâche File_Threat_Protection après la date spécifiée dans le système d'horodatage UNIX (le nombre de secondes qui se sont écoulées depuis le 1er janvier 1970, 00:00:00 (UTC)) :
Affichez tous les événements générés par la tâche File_Threat_Protection après la date spécifiée au format AAAA-MM-JJ hh:mm:ss :
|