Puteți seta propriile criterii de declanșare a regulii Inspecție jurnal. Pentru a face acest lucru, trebuie să introduceți un ID de eveniment și să selectați o sursă a evenimentului. Puteți căuta ID-ul evenimentului pe site-ul web de suport tehnic Microsoft. Puteți selecta o sursă a evenimentului dintre jurnalele standard: Application, Security sau System. De asemenea, puteți specifica jurnalul unei aplicații terțe. Puteți afla numele jurnalului aplicației terțe folosind instrumentul Vizualizare evenimente. Jurnalele de aplicații terțe sunt păstrate în directorul Jurnale de aplicații și servicii (de exemplu, jurnalul Windows PowerShell).
Aplicația nu verifică dacă jurnalul specificat este de fapt prezent în jurnalul de evenimente Windows. Dacă există o greșeală în numele jurnalului, aplicația nu monitorizează evenimentele din acel jurnal.
Lista de reguli personalizate include deja trei reguli create de experții Kaspersky.
Deschide Consolă de administrare a Kaspersky Security Center.
În directorul Dispozitive gestionate al arborelui consolei de administrare, deschide directorul cu numele grupului de administrare căruia îi aparțin computerele client relevante.
În spațiul de lucru, selectează fila Politici.
Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
În fereastra politicii, selectați Security Controls → Inspecție jurnal.
Asigurați-vă că este selectată caseta de validare Inspecție jurnal.
În blocul Reguli personalizate, fă clic pe butonul Setări.
În fereastra care se deschide, bifați casetele de selectare de lângă regulile personalizate pe care doriți să le activați.
Dacă este necesar, faceți clic pe Adăugare pentru a vă crea propriile reguli personalizate.
Aceasta deschide o fereastră; în acea fereastră, configurați regula personalizată:
Nume regulă.
Nume jurnal. Jurnalele de evenimente Windows. Sunt disponibile următoarele jurnale: Application, Security, System.
Sursă. Jurnalele aplicațiilor terțe. Puteți afla numele jurnalului aplicației terțe folosind instrumentul Vizualizare evenimente. Jurnalele de aplicații terțe sunt păstrate în directorul Jurnale de aplicații și servicii (de exemplu, jurnalul Windows PowerShell).
Identificatori evenimente. ID-urile evenimentelor în Jurnalul de evenimente Windows. Puteți căuta ID-ul evenimentului în documentația tehnică Microsoft.
În fereastra principală a Web Console, selectați Devices → Policies & Profiles.
Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
Selectați fila Setări aplicație.
Accesați Security Controls → Log Inspection.
Asigurați-vă că butonul de comutare Log Inspection este activat.
În blocul Custom rules, selectați regulile personalizate pe care doriți să le activați.
Dacă este necesar, faceți clic pe Add pentru a vă crea propriile reguli personalizate.
Aceasta deschide o fereastră; în acea fereastră, configurați regula personalizată:
Rule name.
Windows Event Log name. Jurnalele de evenimente Windows. Sunt disponibile următoarele jurnale: Application, Security, System.
Source. Jurnalele aplicațiilor terțe. Puteți afla numele jurnalului aplicației terțe folosind instrumentul Vizualizare evenimente. Jurnalele de aplicații terțe sunt păstrate în directorul Jurnale de aplicații și servicii (de exemplu, jurnalul Windows PowerShell).
Windows Event Log identifier. ID-urile evenimentelor în Jurnalul de evenimente Windows. Puteți căuta ID-ul evenimentului în documentația tehnică Microsoft.
În fereastra principală a aplicației, faceți clic pe butonul .
În fereastra cu setările aplicației, selectați Security Controls → Inspecție jurnal.
Asigurați-vă că butonul de comutare Inspecție jurnal este activat.
În blocul Reguli personalizate, fă clic pe butonul Configurare.
În fereastra care se deschide, bifați casetele de selectare de lângă regulile personalizate pe care doriți să le activați.
Dacă este necesar, faceți clic pe Adăugare pentru a vă crea propriile reguli personalizate.
Aceasta deschide o fereastră; în acea fereastră, configurați regula personalizată:
Nume regulă.
Nume jurnal. Jurnalele de evenimente Windows. Sunt disponibile următoarele jurnale: Application, Security, System.
Sursă. Jurnalele aplicațiilor terțe. Puteți afla numele jurnalului aplicației terțe folosind instrumentul Vizualizare evenimente. Jurnalele de aplicații terțe sunt păstrate în directorul Jurnale de aplicații și servicii (de exemplu, jurnalul Windows PowerShell).
Identificator eveniment. ID-urile evenimentelor în Jurnalul de evenimente Windows. Puteți căuta ID-ul evenimentului în documentația tehnică Microsoft.
Salvați-vă modificările.
Ca rezultat, atunci când regula se declanșează, Kaspersky Endpoint Security creează evenimentul Critic.
.