篩選要傳送到 KUMA 的事件
預設情況下,Kaspersky Endpoint Security 會將一組有限的 Windows 記錄事件傳送到 KUMA。為了提高效能並最佳化到 KUMA 伺服器的資料傳輸,您可以從遙測中手動新增或排除個別事件。例如,您可以排除 Sysmon 事件。
如何在管理主控台 (MMC) 中建立要傳送到 KUMA 的事件清單
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“一般設定 → 排除項目和物件類型”。
- 在”掃描排除項目和受信任應用程式 → KUMA 遙測設定”塊中,點擊”設定”按鈕。
- 在顯示的視窗中,設定要傳送到 KUMA 的事件篩選器。
您可以為標準的 Application、Security、System 記錄設定事件篩選,或手動新增其他記錄。
- 點擊 新增 或開啟記錄內容。
- 選取事件傳送模式:
- 傳送所有事件在此模式下,應用程式會傳送 Windows 日誌中的所有事件(新增到排除規則的事件除外)。
- 僅傳送選取的事件在此模式下,應用程式僅會傳送包含規則中新增的事件。
- 為相關事件傳送模式建立排除規則或包含規則的清單。
若要新增規則,需要指定 Windows 事件記錄中的事件 ID。您可以在一個規則中列出多個事件 ID。若要指定多個事件 ID,請使用逗號 (",")。
- 儲存變更。若要在電腦上套用該政策,請關閉掛鎖
。
如何在網頁主控台中建立要傳送到 KUMA 的事件清單
- 在網頁主控台的主視窗中,選擇資產(裝置) → 政策和設定檔頁簽。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”一般設定”→”遙測設定”。
- 選擇“KUMA 遙測”標籤。
- 在顯示的視窗中,設定要傳送到 KUMA 的事件篩選器。
您可以為標準的 Application、Security、System 記錄設定事件篩選,或手動新增其他記錄。
- 點擊 新增 或開啟記錄內容。
- 選取事件傳送模式:
- 傳送所有事件在此模式下,應用程式會傳送 Windows 日誌中的所有事件(新增到排除規則的事件除外)。
- 僅傳送選取的事件在此模式下,應用程式僅會傳送包含規則中新增的事件。
- 為相關事件傳送模式建立排除規則或包含規則的清單。
若要新增規則,需要指定 Windows 事件記錄中的事件 ID。您可以在一個規則中列出多個事件 ID。若要指定多個事件 ID,請使用逗號 (",")。
- 儲存變更。若要在電腦上套用該政策,請關閉掛鎖
。