Вы можете настроить постоянное хранение событий безопасности локально. В этом случае события будут сохраняться локально независимо от того, были ли они отправлены в SIEM-систему.
По умолчанию события безопасности сохраняются в директории /var/security-events/. События разных типов записываются в один файл. Максимальный размер одного файла – 100 МБ. Запись в новый файл начинается после того, как объем текущего файла превысит максимальный, либо, если объем файла не превышает максимальный, то каждый час.
Чтобы включить постоянное локальное хранение событий безопасности:
Откроется вкладка Политика.
События безопасности будут сохраняться локально постоянно.
Вы можете скачать сохраненные локально файлы событий безопасности с устройства Kaspersky NGFW через SSH или SCP. Если вы хотите скачать файлы через SSH, вам нужно подключиться к Kaspersky NGFW как к серверу. После скачивания файлы также останутся на устройстве Kaspersky NGFW.
Используйте команды shell только в соответствии с описаниями в этой справке Kaspersky NGFW или по запросу специалиста Службы технической поддержки "Лаборатории Касперского". В остальных случаях рекомендуется использовать командную строку Kaspersky NGFW.
Вы можете просматривать список событий безопасности и список файлов, а также удалять файлы событий при помощи командной строки, используя семейство команд system. Описание семейств команд и ссылку на полный список команд для настройки работы Kaspersky NGFW вы можете найти в документе Управление Kaspersky NGFW с помощью командной строки.