过滤要发送到 KUMA 的事件
默认情况下,Kaspersky Endpoint Security 发送有限的 Windows 日志事件集到 KUMA。为了提高性能并优化向 KUMA 服务器的数据传输,您可以手动从遥测中添加或排除单个事件。例如,您可以排除 Sysmon 事件。
如何在管理控制台 (MMC) 中创建要发送到 KUMA 的事件列表
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 常规设置 → 排除项和对象类型。
- 在“扫描排除项和受信任应用程序 → KUMA 遥测”块中单击“设置”按钮。
- 在显示的窗口中,配置要发送给 KUMA 的事件过滤器。
您可以为标准Application、Security、System 日志配置事件过滤或手动添加另一个日志。
- 点击“添加”或打开日志属性。
- 选择事件发送模式:
- “发送所有事件”。在此模式下,应用程序会发送 Windows 日志中的所有事件(添加到排除规则的事件除外)。
- “仅发送选定的事件”。在此模式下,应用程序仅发送包含规则中添加的事件。
- 为相关事件发送模式创建排除规则或包含规则列表。
要添加规则,您需要指定 Windows 事件日志中事件的 ID。您可以在一个规则中列出多个事件 ID。要指定多个事件 ID,请使用逗号 (",“)。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在 Web Console 中创建要发送到 KUMA 的事件列表
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”选项卡。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 常规设置 → 遥测设置。
- 选择KUMA 遥测选项卡。
- 在显示的窗口中,配置要发送给 KUMA 的事件过滤器。
您可以为标准Application、Security、System 日志配置事件过滤或手动添加另一个日志。
- 点击“添加”或打开日志属性。
- 选择事件发送模式:
- “发送所有事件”。在此模式下,应用程序会发送 Windows 日志中的所有事件(添加到排除规则的事件除外)。
- “仅发送选定事件”。在此模式下,应用程序仅发送包含规则中添加的事件。
- 为相关事件发送模式创建排除规则或包含规则列表。
要添加规则,您需要指定 Windows 事件日志中事件的 ID。您可以在一个规则中列出多个事件 ID。要指定多个事件 ID,请使用逗号 (",“)。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。