Вы можете задать собственные критерии срабатывания правила Анализа журналов. Для этого вам нужно ввести идентификатор события и выбрать источник событий. Вы можете узнать идентификатор события на сайте Службы технической поддержки Microsoft. Для выбора источника событий доступны стандартные журналы: Application, Security или System. Также вы можете указать журнал стороннего приложения. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Приложение не выполняет проверок на фактическое наличие заданного журнала в журнале событий Windows. Если название журнала введено с ошибкой, приложение не будет контролировать события из этого журнала.
В список пользовательских правил уже добавлено несколько правил, которые созданы специалистами "Лаборатории Касперского".
В дереве Консоли администрирования Kaspersky Security Center выберите папку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне свойств политики выберите Диагностика системы.
В разделе Анализ журналов нажмите Настройка.
Установите флажок Анализ журналов.
На закладке Пользовательские правила установите флажок Применять пользовательские правила для анализа журналов.
Установите флажки напротив тех пользовательских правил, которые вы хотите включить.
Если требуется, создайте собственные пользовательские правила по кнопке Добавить.
В открывшемся окне настройте параметры пользовательского правила:
Имя правила.
Имя журнала. Журналы событий Windows. Доступны следующие журналы: Application, Security, System.
Источник. Журналы событий сторонних приложений. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Идентификаторы событий. Идентификаторы событий в журнале событий Windows. Вы можете узнать идентификатор события в справке Microsoft.
В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Industrial CyberSecurity for Nodes.
Откроется окно свойств политики.
Выберите вкладку Параметры приложения.
Перейдите в раздел Диагностика системы → Анализ журналов и нажмите на кнопку Настроить.
Установите флажок Включить Анализ журналов.
На закладке Пользовательские правила установите флажок Применять пользовательские правила для анализа журналов.
Настройте работу пользовательских правил с помощью переключателей.
Если требуется, создайте собственные пользовательские правила по кнопке Добавить.
В открывшемся окне настройте параметры пользовательского правила:
Имя правила.
Имя журнала событий Windows. Журналы событий Windows. Доступны следующие журналы: Application, Security, System.
Источник. Журналы событий сторонних приложений. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Идентификатор события. Идентификаторы событий в журнале событий Windows. Вы можете узнать идентификатор события в справке Microsoft.
В дереве Консоли Kaspersky Industrial CyberSecurity for Nodes выберите Мониторинг целостности системы → Анализ журналов.
В панели результатов узла Анализ журналов нажмите Свойства.
Откроется окно Свойства: Анализ журналов.
Установите флажок Анализ журналов.
На закладке Пользовательские правила установите флажок Применять пользовательские правила для анализа журналов.
Установите флажки напротив тех пользовательских правил, которые вы хотите включить.
Если требуется, создайте собственные пользовательские правила по кнопке Добавить.
В открывшемся окне настройте параметры пользовательского правила:
Имя правила.
Имя журнала. Журналы событий Windows. Доступны следующие журналы: Application, Security, System.
Источник. Журналы событий сторонних приложений. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Идентификаторы событий. Идентификаторы событий в журнале событий Windows. Вы можете узнать идентификатор события в справке Microsoft.
Сохраните внесенные изменения.
В результате Kaspersky Industrial CyberSecurity for Nodes при срабатывании правила будет создавать события со статусом Критическое.