通过应用程序控制台添加日志审查规则

要添加和配置新的自定义日志审查规则：

1. 在应用程序控制台树中，展开“系统审查”节点。
2. 选择“日志审查”子节点。
3. 在“日志审查”节点的结果窗格中，单击“日志审查规则”链接。
4. 将打开“日志审查规则”窗口。
5. 清除或选中“对日志审查应用自定义规则。在选中此复选框之前，不应用已配置的规则”复选框。校验和显示在任务日志中。
   

   如果选中该复选框，则 Kaspersky Embedded Systems Security for Windows 将根据规则设置应用自定义“日志审查”规则。您可以添加、删除或配置日志审查规则。

   如果清除该复选框，则不能添加或修改自定义规则。Kaspersky Embedded Systems Security for Windows 将应用默认规则设置。

   默认下，复选框被清除。只有应用程序弹出检测规则处于活动状态。

   可以控制是否对“日志审查”任务应用预定义的规则。选择您要对日志审查应用的规则所对应的复选框。

6. 要创建新的自定义规则：
   1. 输入新规则的名称。
   2. 单击“添加”按钮。

      创建的规则将添加到常规规则列表中。

7. 要配置任何规则：
   1. 从列表中选择一个规则。

      在窗口的右侧区域中，“描述”选项卡将显示有关该规则的常规信息。

      新规则的描述为空白。

   2. 选择“规则设置”选项卡。
8. 在“常规”部分中，指定有关新规则的以下信息：
   • 规则名称
   • 日志名称
     

     选择要用作事件源进行分析的日志。以下 Windows 事件日记可用：应用程序、安全、系统。

     您可以在“当 Windows 事件日志中出现新条目时，如果在事件参数中发现指定的标识符(ID)，将触发规则”字段中输入日志名称来添加新的自定义日志。

   • 当 Windows 事件日志中出现新条目时，如果在事件参数中发现指定的标识符(ID)，将触发规则
     

     指定要用作事件源进行分析的应用程序。

9. 在“事件标识符”部分中，指定将触发规则的事件 ID：
   1. 输入事件 ID。
   2. 单击“添加”按钮。

      输入的事件 ID 将添加到列表中。可以为每个规则添加无限数量的标识符。

10. 单击“保存”按钮。

    将应用已配置的日志审查规则。

页面顶部