Просмотр событий

Вы можете просматривать события следующими способами:

В журнале событий приложения. Журнал событий расположен в директории, указанной общим параметром приложения EventsStoragePath. По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kess/private/storage/events.db. Для доступа к базе данных событий требуются root-права.
Если в общих параметрах приложения для параметра UseSysLog указано значение Yes, то данные о событиях также записываются в syslog. Для доступа к syslog требуются root-права.
Включить вывод текущих событий приложения с помощью команды kess-control -W.
Если управление приложением Kaspersky Embedded Systems Security осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Для некоторых событий действуют правила агрегирования. В случае, если за короткий промежуток времени в процессе работы приложения создается много событий одного типа, приложение переключается в режим агрегирования событий и отправляет в Kaspersky Security Center одно агрегированное событие с описанием параметров этих событий. Для разных событий могут использоваться разные правила агрегирования. Администратор может настроить выполнение скрипта при получении события из приложения или получение уведомлений о событиях по электронной почте. Подробную информацию о событиях см. в документации Kaspersky Security Center.
Если включен графический пользовательский интерфейс (GUI), информация о событиях отображается в отчетах и во всплывающих окнах приложения.

Чтобы получить информацию обо всех событиях в журнале событий, выполните следующую команду:

kess-control -E --query|less

По умолчанию в приложении хранится до 500 000 событий. С помощью утилиты less вы можете перемещаться по списку отображаемых событий.

Вы можете просматривать конкретные события с помощью системы запросов к хранилищу событий приложения.

При создании запроса требуется указать нужное поле, выбрать операцию сравнения и задать нужное значение. Значение требуется указывать в одинарных кавычках (‘), а запрос целиком – в двойных кавычках ("):

--query "<поле> <операция сравнения> '<значение>' [and <поле> <операция сравнения> '<значение>' *]"

Значение даты вы можете указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года) или в формате YYYY-MM-DD hh:mm:ss. Значение даты и времени указывается пользователем и отображается приложением по локальному времени пользователя.

Пример события ThreatDetected:

EventType=ThreatDetected

EventId=2671

Initiator=Product

Date=2020-04-30 17:17:17

DangerLevel=Critical

FileName=/root/eicar.com.txt

ObjectName=File

TaskName=File_Monitoring

RuntimeTaskId=2

TaskId=1

DetectName=EICAR-Test-File

TaskType=OAS

FileOwner=root

FileOwnerId=0

DetectCertainty=Sure

DetectType=Virware

DetectSource=Local

ObjectId=1

AccessUser=root

AccessUserId=0

Примеры запросов:

Вывести все события с заданным значением поля EventType:

kess-control -E --query "EventType == 'ThreatDetected'"

Вывести все события с заданными значениями полей EventType и FileName:

kess-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"

Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):

kess-control -E --query "TaskName == 'File_Threat_Protection' and Date > '1588253494'"

Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в формате YYYY-MM-DD hh:mm:ss:

kess-control -E --query "TaskName == 'File_Threat_Protection' and Date > '2022-11-22 18:42:54'"

Идентификатор статьи: 201952, Последнее изменение: 27 янв. 2025 г.

В начало