Kaspersky Security Center 15.1 Windows
15.1
Русский

Содержание

Экспорт событий напрямую из базы данных

Вы можете извлекать события напрямую из базы данных Kaspersky Security Center, не используя интерфейс Kaspersky Security Center. Можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях или создавать собственные представления на базе существующих публичных представлений и обращаться к ним для получения требуемых данных.

Публичные представления

Для вашего удобства в базе данных Kaspersky Security Center предусмотрен набор публичных представлений. Описание публичных представлений приведено в документе klakdb.chm.

Публичное представление v_akpub_ev_event содержит набор полей, соответствующих параметрам событий в базе данных. В документе klakdb.chm также содержится информация о публичных представлениях, относящихся к другим объектам Kaspersky Security Center, например, устройствам, приложениям, пользователям. Вы можете использовать эту информацию при создании запросов.

В этом разделе приведены инструкции по выполнению SQL-запроса с помощью утилиты klsql2, а также пример такого запроса.

Вы также можете использовать любые другие приложения для работы с базами данных для создания SQL-запросов и представлений баз данных. Информация о том, как посмотреть параметры подключения к базе данных Kaspersky Security Center, например, имя инстанса и имя базы данных, приведена в соответствующем разделе.

В этом разделе

Выполнение SQL-запроса с помощью утилиты klsql2

Пример SQL-запроса, созданного с помощью утилиты klsql2

Просмотр имени базы данных Kaspersky Security Center

См. также:

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151344]

Выполнение SQL-запроса с помощью утилиты klsql2

В этой статье приведены инструкции по использованию утилиты klsql2, а также по выполнению SQL-запроса с использованием этой утилиты.

Чтобы использовать утилиту klsql2:

  1. Найдите утилиту klsql2 в папке установки Kaspersky Security Center. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center. Не используйте версии утилиты klsql2, предназначенные для старых версий Kaspersky Security Center.
  2. Создайте файл src.sql в любом текстовом редакторе и поместите файл в одну папку с утилитой.
  3. В файле src.sql введите требуемый SQL-запрос и сохраните файл.
  4. На устройстве, на котором установлен Сервер администрирования Kaspersky Security Center, в командной строке введите следующую команду для выполнения SQL-запроса из файла src.sql и сохранения результатов в файл result.xml:

    klsql2 -i src.sql -u <имя пользователя> -p <пароль> -o result.xml

    где <имя пользователя> и <пароль> являются учетными данными учетной записи пользователя, имеющего доступ к базе данных.

  5. При необходимости введите имя учетной записи и пароль пользователя, имеющего доступ к базе данных.
  6. Откройте созданный файл result.xml и посмотрите результаты выполнения SQL-запроса.

Вы можете изменить файл src.sql и создавать в нем любые SQL-запросы к публичным представлениям. Затем с помощью команды в командной строке можно запустить SQL-запрос и сохранить результаты в файл.

См. также

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151343]

Пример SQL-запроса, созданного с помощью утилиты klsql2

В этом разделе приведен пример SQL-запроса, выполненного с помощью утилиты klsql2.

Следующие примеры показывают, как получить список событий, зарегистрированных на устройствах пользователей за последние 7 дней, и отсортировать их по времени возникновения, самые недавние события отображаются первыми.

Пример для Microsoft SQL Server:

SELECT

  e.nId, /* идентификатор события */

  e.tmRiseTime, /* время возникновения события */

  e.strEventType, /* внутреннее имя типа события */

  e.wstrEventTypeDisplayName, /* отображаемое имя события */

  e.wstrDescription, /* отображаемое описание события */

  e.wstrGroupName, /* имя группы устройств */

  h.wstrDisplayName, /* отображаемое имя устройства, на котором произошло событие */

  CAST(((h.nIp / 16777216) & 255) AS varchar(4)) + '.' +

  CAST(((h.nIp / 65536) & 255) AS varchar(4)) + '.' +

  CAST(((h.nIp / 256) & 255) AS varchar(4)) + '.' +

  CAST(((h.nIp) & 255) AS varchar(4)) as strIp /* IP-адрес устройства, на котором произошло событие */

FROM v_akpub_ev_event e

  INNER JOIN v_akpub_host h ON h.nId=e.nHostId

WHERE e.tmRiseTime>=DATEADD(Day, -7, GETUTCDATE())

ORDER BY e.tmRiseTime DESC

Пример для PostgreSQL:

SELECT

  "e"."nId", /* идентификатор события */

  "e"."tmRiseTime", /* время возникновения события */

  "e"."strEventType", /* внутреннее имя типа события */

  "e"."wstrEventTypeDisplayName", /* отображаемое имя события */

  "e"."wstrDescription", /* отображаемое описание события */

  "e"."wstrGroupName", /* отображаемое описание события */

  "h"."wstrDisplayName", /* отображаемое имя устройства, на котором произошло событие */

  (

    CAST((("h"."nIp" / 16777216 )& 255 ) AS VARCHAR(4)) || '.' ||

    CAST((("h"."nIp" / 65536 )& 255 ) AS VARCHAR(4)) || '.' ||

    CAST((("h"."nIp" / 256 )& 255 ) AS VARCHAR(4)) || '.' ||

    CAST((("h"."nIp" )& 255 ) AS VARCHAR(4))

  ) AS "strIp" /* IP-адрес устройства, на котором произошло событие */

FROM "v_akpub_ev_event" AS "e"

  INNER JOIN "v_akpub_host" AS "h" ON "h"."nId" = "e"."nHostId"

WHERE "e"."tmRiseTime" >= NOW() AT TIME ZONE 'utc' + make_interval(days => CAST(-7 AS INT))

ORDER BY "e"."tmRiseTime" DESC ;

Пример для MySQL или MariaDB:

SELECT

  `e`.`nId`, /* идентификатор события */

  `e`.`tmRiseTime`, /* время возникновения события */

  `e`.`strEventType`, /* внутреннее имя типа события */

  `e`.`wstrEventTypeDisplayName`, /* отображаемое имя события */

  `e`.`wstrDescription`, /* отображаемое описание события */

  `e`.`wstrGroupName`, /* имя группы устройств */

  `h`.`wstrDisplayName`, /* отображаемое имя устройства, на котором произошло событие */

  CONCAT(

    LEFT(CAST(((`h`.`nIp` DIV 1677721) & 255) AS CHAR), 4), '.',

    LEFT(CAST(((`h`.`nIp` DIV 65536) & 255) AS CHAR), 4), '.',

    LEFT(CAST(((`h`.`nIp` DIV 256) & 255) AS CHAR), 4), '.',

    LEFT(CAST(((`h`.`nIp`) & 255) AS CHAR), 4)

  ) AS `strIp` /* IP-адрес устройства, на котором произошло событие */

FROM `v_akpub_ev_event` AS `e`

  INNER JOIN `v_akpub_host` AS `h` ON `h`.`nId` = `e`.`nHostId`

WHERE `e`.`tmRiseTime` >= ADDDATE( UTC_TIMESTAMP( ) , INTERVAL -7 DAY)

ORDER BY `e`.`tmRiseTime` DESC ;

См. также:

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151338]

Просмотр имени базы данных Kaspersky Security Center

Развернуть все | Свернуть все

Может быть полезно знать имя базы данных, если вам нужно, например, отправить SQL-запрос и подключиться к базе данных из редактора скриптов SQL.

Чтобы просмотреть имя базы данных Kaspersky Security Center:

  1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
  2. В окне свойств Сервера администрирования выберите раздел Дополнительно, а затем Информация об используемой базе данных.
  3. В разделе Информация об используемой базе данных обратите внимание на следующие свойства базы данных (см. рис. ниже):
    • Имя экземпляра

      Имя экземпляра используемой базы данных Kaspersky Security Center. Значение по умолчанию – .\KAV_CS_ADMIN_KIT.

    • Имя базы данных

      Имя базы данных SQL Kaspersky Security Center. По умолчанию указано значение KAV.

    Раздел содержит Имя экземпляра, Имя базы данных и размер файла, Размер данных и количество событий в базе данных.

    Раздел с информацией об используемой базе данных Сервера администрирования

  4. Нажмите на кнопку ОК, чтобы закрыть окно свойств Сервера администрирования.

Используйте это имя базы данных для подключения и обращения к базе данных в ваших SQL-запросах.

См. также:

Настройка экспорта событий в SIEM-системы
В начало
[Topic 151339]