추적 파일의 내용 및 저장

사용자는 자신의 컴퓨터에 저장된 데이터의 보안에 대해 스스로 책임을 져야 하며, 특히 Kaspersky에 제출될 때까지 데이터에 대한 접근을 모니터링하고 제한해야 합니다.

추적 파일은 애플리케이션이 사용 중일 때는 컴퓨터에 저장되며 애플리케이션이 제거되면 영구적으로 삭제됩니다.

인증 에이전트의 추적 파일을 제외한 추적 로그 파일은 %ProgramData%\Kaspersky Lab\KES\Traces 폴더에 저장됩니다.

추적 파일은 다음 이름 형식을 가집니다: KES<서비스 버전번호_날짜XX.XX_시간XX.XX_pidXXX.><추적 로그 파일 유형>.log.

추적 파일에 저장된 데이터를 볼 수 있습니다.

모든 추적 파일에는 다음 일반 데이터가 포함됩니다:

• 이벤트 시간
• 실행 스레드 수

  인증 에이전트 추적 파일에는 이 정보가 들어있지 않습니다.

• 이벤트를 발생시킨 애플리케이션 구성 요소
• 이벤트의 심각도(정보 이벤트, 경고, 심각 이벤트, 오류)
• 애플리케이션의 구성 요소에 의한 명령 실행 및 이 명령 실행의 결과에 연관된 이벤트 설명

Kaspersky Endpoint Security는 사용자 암호를 암호화된 형식으로만 추적 파일에 저장합니다.

SRV.log, GUI.log, ALL.log 추적 파일 내용

SRV.log, GUI.log, ALL.log 추적 파일은 일반적인 데이터 이외에 다음 정보를 저장할 수도 있습니다:

• 성, 이름 등 개인 데이터(이러한 데이터가 로컬 컴퓨터에서 파일 경로에 포함된 경우).
• 컴퓨터에 설치된 하드웨어의 데이터(예: BIOS/UEFI 펌웨어 데이터). 이 데이터는 Kaspersky 디스크 암호화를 수행할 때 추적 파일에 작성됩니다.
• 사용자 이름과 암호(공개적으로 전송된 경우). 이 데이터는 인터넷 트래픽 검사 중에 추적 파일에 기록될 수 있습니다.
• 사용자 이름 및 암호(HTTP 헤더에 포함된 경우).
• Microsoft Windows 계정 이름(계정 이름이 파일 이름에 포함된 경우).
• 사용자의 계정 이름과 암호가 포함된 이메일 주소나 웹 주소(이들이 발견된 개체의 이름에 포함된 경우).
• 사용자가 방문하는 웹 사이트와 이들 웹 사이트의 리디렉션. 이 데이터는 애플리케이션이 웹 사이트를 검사할 때 추적 파일에 작성됩니다.
• 프록시 서버 주소, 컴퓨터 이름, 포트, IP 주소, 프록시 서버에 로그인할 때 사용되는 사용자 이름. 이 데이터는 애플리케이션이 프록시 서버를 사용하는 경우 추적 파일에 작성됩니다.
• 컴퓨터가 연결을 구축한 원격 IP 주소.
• 메시지 제목, ID, 보낸 사람 이름, 메시지를 보낸 사람의 소셜 네트워크 웹 페이지 주소. 이 데이터는 웹 제어 구성 요소를 사용할 경우 추적 파일에 작성됩니다.
• 네트워크 트래픽 데이터. 이 데이터는 트래픽 모니터링 구성 요소(예: 웹 제어)가 활성화된 경우 추적 파일에 작성됩니다.
• Kaspersky 서버로부터 수신된 데이터(예: 안티바이러스 데이터베이스 버전).
• Kaspersky Endpoint Security 구성 요소 및 해당 운영 데이터 상태.
• 애플리케이션의 사용자 활동에 대한 데이터.
• 운영 체제 이벤트.

HST.log, BL.log, Dumpwriter.log, WD.log, AVPCon.dll.log 추적 파일의 내용

일반 데이터 이외에도 HST.log 추적 파일에는 데이터베이스의 실행 및 애플리케이션 모듈 업데이트 작업에 대한 정보가 포함됩니다.

일반 데이터 이외에도 BL.log 추적 파일에는 애플리케이션의 작동 중에 발생한 이벤트에 대한 정보 및 애플리케이션 오류의 문제 해결에 필요한 데이터가 포함됩니다. 이 파일은 애플리케이션이 avp.exe –bl 파라미터로 시작된 경우에 생성됩니다.

일반 데이터 이외에도 Dumpwriter.log 추적 파일에는 애플리케이션 덤프 파일이 작성될 때 발생하는 오류의 문제해결에 필요한 서비스 정보가 포함됩니다.

일반 데이터 이외에도 WD.log 추적 파일에는 애플리케이션 모듈 업데이트 이벤트를 비롯한 avpsus 서비스의 작동 중에 발생하는 이벤트에 대한 정보가 포함되어 있습니다.

일반 데이터 이외에도 AVPCon.dll.log 추적 파일에는 Kaspersky Security Center 연결 모듈 작동 중에 발생하는 이벤트에 대한 정보가 포함되어 있습니다.

성능 추적 파일의 컨텐츠

성능 추적 파일은 다음 이름 형식을 가집니다: KES<버전번호_날짜XX.XX_시간XX.XX_pidXXX.>PERF.HAND.etl.

일반 데이터 이외에도 성능 추적 파일에는 프로세서의 부하에 대한 정보, 운영 체제와 애플리케이션의 로딩 시간에 대한 정보, 실행 중인 프로세스에 대한 정보가 포함됩니다.

AMSI 보호 구성 요소 추적 파일의 내용

AMSI.log 추적 파일에는 일반 데이터 외에도 타사 애플리케이션의 요청에 대해 수행된 검색 결과에 대한 정보가 포함되어 있습니다.

메일 위협 보호 구성 요소의 추적 파일 내용

mcou.OUTLOOK.EXE.log 추적 파일에는 일반 데이터 외에도 이메일 주소 및 이메일 메시지의 일부가 포함될 수 있습니다.

마우스 오른쪽 메뉴에서 검사 구성 요소의 추적 파일 내용

shellex.dll.log 추적 파일에는 일반 정보와 함께 검사 작업의 완료에 대한 정보와 애플리케이션을 디버깅하는 데 필요한 데이터가 들어 있습니다.

애플리케이션 웹 플러그인의 추적 파일 내용

애플리케이션 웹 플러그인의 추적 파일은 Kaspersky Security Center 웹 콘솔이 배포된 컴퓨터의 Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\logs 폴더에 저장됩니다.

애플리케이션 웹 플러그인의 추적 로그 파일 이름은 다음과 같습니다: logs-kes_windows-<추적 파일 유형>.DESKTOP-<파일 업데이트 날짜>.log. 웹 콘솔은 설치 후 데이터 쓰기를 시작하고 웹 콘솔을 제거한 이후에는 추적 파일을 삭제합니다.

애플리케이션 웹 플러그인의 추적 파일에는 일반 데이터 이외에도 다음 정보가 포함되어 있습니다:

• Kaspersky Endpoint Security 인터페이스(암호 보호)의 잠금을 해제하기 위한 KLAdmin 사용자 암호.
• Kaspersky Endpoint Security 인터페이스(암호 보호)의 잠금을 해제하기 위한 임시 암호.
• SMTP 메일 서버에 대한 사용자 이름 및 암호(이메일 알림).
• 프록시 서버에 대한 사용자 이름 및 암호(프록시 서버).
• 애플리케이션 구성 요소 변경 작업의 사용자 이름 및 암호입니다.
• Kaspersky Endpoint Security 작업 및 정책 속성에 지정된 계정 인증 정보 및 경로.

인증 에이전트 추적 파일 내용

인증 에이전트 추적 파일은 System Volume Information 폴더에 저장되며 이름은 다음과 같습니다: KLFDE.{EB2A5993-DFC8-41a1-B050-F0824113A33A}.PBELOG.bin.

일반 데이터 이외에 인증 에이전트 추적 파일에는 인증 에이전트의 작동 및 인증 에이전트를 통해 사용자가 수행하는 작업에 대한 정보가 포함됩니다.

맨 위로