Ajout de règles d'inspection des journaux via le plug-in d'administration

Pour ajouter et configurer une nouvelle règle d’inspection des journaux définie par l’utilisateur, procédez comme suit :

1. Développez le nœud Appareils administrés dans la Console d'administration de Kaspersky Security Center.
2. Sélectionnez le groupe d’administration pour lequel vous souhaitez configurer les paramètres de l’application.
3. Dans le panneau de détails du groupe d’administration sélectionné, exécutez une des actions suivantes :
   • Pour configurer les paramètres de l’application pour un groupe d’appareils protégés, sélectionnez l’onglet Stratégies et ouvrez la fenêtre Propriétés : <Nom de la stratégie>
   • Pour configurer les paramètres d’une tâche ou d’une application pour un appareil protégé particulier, sélectionnez l’onglet Appareils et accédez aux paramètres locaux de la tâche ou de l’application.
4. Dans la section Diagnostic du système, cliquez sur le bouton Inspection des journaux de la sous-section Configuration.

   La fenêtre Inspection des journaux s'ouvre.

5. Sous l’onglet Règles personnalisées, décochez ou cochez la case Inspecter les journaux selon les règles personnalisées.
   

   Si cette case est cochée, Kaspersky Embedded Systems Security for Windows applique les règles d’inspection des journaux définies par l’utilisateur conformément aux paramètres de chaque règle. Vous pouvez ajouter, supprimer ou configurer des règles d’inspection des journaux.

   Si la case est décochée, vous ne pouvez pas ajouter de règles personnalisées ni en modifier. Kaspersky Embedded Systems Security for Windows applique les paramètres de règles par défaut.

   Par défaut, la case est décochée. Seule la règle de détection de pop-up d’application est active.

   Vous pouvez contrôler l’application des règles prédéfinies à l’inspection des journaux. Cochez les cases en regard des règles que vous voulez appliquer à l’inspection des journaux.

6. Pour créer une nouvelle règle définie par l’utilisateur, cliquez sur le bouton Ajouter.

   La fenêtre Règle d'inspection des journaux personnalisée s’ouvre.

7. Dans la section Général, saisissez les informations suivantes au sujet de la nouvelle règle :
   • Nom de la règle
   • L'apparition de nouveaux enregistrements dans le journal des événements Windows déclenche l'application de la règle si l'identifiant indiqué figure dans les paramètres de l'événement
     

     Sélectionnez un journal qui servira de source des événements à analyser. Vous avez le choix parmi les types de journaux d’événements Windows suivants : Application, Sécurité, Système.

     Vous pouvez ajouter un nouveau journal personnalisé en saisissant le nom du journal dans le champ L'apparition de nouveaux enregistrements dans le journal des événements Windows déclenche l'application de la règle si l'identifiant indiqué figure dans les paramètres de l'événement.

8. Dans la section Critère de déclenchement, indiquez les identificateurs des enregistrements dont la détection va déclencher la règle :
   1. Saisissez un identifiant.
   2. Cliquez sur Ajouter.

      L’identifiant de l’événement saisi est ajouté à la liste. Vous pouvez ajouter un nombre illimité d’identifiants pour chaque règle.

9. Cliquez sur le bouton OK.

   La règle d’inspection des journaux est ajoutée à la liste des règles.