执行以下操作可添加和配置新的自定义日志审查规则:
将打开“日志审查”窗口。
如果选中该复选框,则 Kaspersky Embedded Systems Security for Windows 将根据规则设置应用自定义“日志审查”规则。您可以添加、删除或配置日志审查规则。
如果清除该复选框,则不能添加或修改自定义规则。Kaspersky Embedded Systems Security for Windows 将应用默认规则设置。
默认下,复选框被清除。只有应用程序弹出检测规则处于活动状态。
可以控制是否对日志审查应用预设的规则。选择您要对日志审查应用的规则所对应的复选框。
将打开“自定义日志审查规则”窗口。
选择要用作事件源进行分析的日志。以下 Windows 事件日记可用:应用程序、安全、系统。
您可以在“当 Windows 事件日志中出现新条目时,如果在事件参数中发现指定的标识符(ID),将触发规则”字段中输入日志名称来添加新的自定义日志。
输入的事件 ID 将添加到列表中。可以为每个规则添加无限数量的标识符。
日志审查规则即添加到规则列表中。