События и отчеты
В процессе работы приложения возникают различного рода события. Они могут иметь информационный характер или нести важную информацию. Например, с помощью события приложение может уведомлять об успешно выполненном обновлении баз приложения или может фиксировать ошибку в работе некоторого компонента, которую требуется устранить.
На основе событий, происходящих во время работы приложения, приложение формирует различные типы отчетов.
В событиях и отчетах могут содержаться следующие персональные данные:
- имена и идентификаторы пользователей в операционной системе;
- пути к файлам пользователя;
- IP-адреса удаленных устройств, проверяемых задачей Защита от шифрования;
- IP-адреса отправителей и получателей сетевых пакетов, проверяемых задачей Управление сетевым экраном;
- веб-адреса источников обновлений;
- общие параметры приложения;
- названия и параметры задач;
- обнаруженные вредоносные, фишинговые, рекламные веб-адреса и веб-адреса, содержащие легальные программы, которые могут использоваться злоумышленниками для нанесения вреда устройству или персональным данным;
- названия контейнеров и образов;
- пути к контейнерам и образам;
- названия и идентификаторы устройств;
- веб-адреса репозиториев;
- имена файлов, пути к файлам и хеш-суммы исполняемых файлов приложений;
- названия категорий приложений.
Просмотр событий
Вы можете просматривать события следующими способами:
- В журнале событий приложения. Журнал событий расположен в директории, указанной общим параметром приложения
EventsStoragePath. По умолчанию приложение сохраняет информацию о событиях в базе данных /var/opt/kaspersky/kess/private/storage/events.db. Для доступа к базе данных событий требуются root-права. - Если в общих параметрах приложения для параметра
UseSysLogуказано значениеYes, то данные о событиях также записываются в syslog. Для доступа к syslog требуются root-права. - Включить вывод текущих событий приложения с помощью команды
kess-control -W. - Если управление приложением Kaspersky Embedded Systems Security осуществляется с помощью Kaspersky Security Center, данные о событиях могут передаваться на Сервер администрирования Kaspersky Security Center. Для некоторых событий действуют правила агрегирования. В случае, если за короткий промежуток времени в процессе работы приложения создается много событий одного типа, приложение переключается в режим агрегирования событий и отправляет в Kaspersky Security Center одно агрегированное событие с описанием параметров этих событий. Для разных событий могут использоваться разные правила агрегирования. Администратор может настроить выполнение скрипта при получении события из приложения или получение уведомлений о событиях по электронной почте. Подробную информацию о событиях см. в документации Kaspersky Security Center.
- Если включен графический пользовательский интерфейс (GUI), информация о событиях отображается в отчетах и во всплывающих окнах приложения.
Чтобы получить информацию обо всех событиях в журнале событий, выполните следующую команду:
kess-control -E --query|less
По умолчанию в приложении хранится до 500 000 событий. С помощью утилиты less вы можете перемещаться по списку отображаемых событий.
Вы можете просматривать конкретные события с помощью системы запросов к хранилищу событий приложения.
При создании запроса требуется указать нужное поле, выбрать операцию сравнения и задать нужное значение. Значение требуется указывать в одинарных кавычках (‘), а запрос целиком – в двойных кавычках ("):
--query "<поле> <операция сравнения> '<значение>' [and <поле> <операция сравнения> '<значение>' *]"
Значение даты вы можете указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года) или в формате YYYY-MM-DD hh:mm:ss. Значение даты и времени указывается пользователем и отображается приложением по локальному времени пользователя.
Пример события ThreatDetected:
|
Примеры запросов: Вывести все события с заданным значением поля EventType:
Вывести все события с заданными значениями полей EventType и FileName:
Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):
Вывести все события, сформированные задачей File_Threat_Protection после даты, указанной в формате YYYY-MM-DD hh:mm:ss:
|
Просмотр отчетов
Информация о работе каждого компонента приложения Kaspersky Embedded Systems Security, результаты выполнения каждой задачи и работы всего приложения в целом записываются в отчеты.
Вы можете просматривать отчеты следующими способами:
- Если управление приложением Kaspersky Embedded Systems Security осуществляется с помощью Kaspersky Security Center, вы можете формировать и просматривать отчеты Kaspersky Security Center в Консоли администрирования и в Web Console. С помощью отчетов Kaspersky Security Center вы можете, например, получить сведения о зараженных файлах, использовании ключей и баз приложения. Подробную информацию о работе с отчетами Kaspersky Security Center см. в документации Kaspersky Security Center.
- Если включен графический пользовательский интерфейс (GUI), информация о событиях в работе приложения отображается в отчетах приложения.