日志审查

如果 Kaspersky Endpoint Security 安装在运行 Windows for Servers 的计算机上，则该组件可用。如果 Kaspersky Endpoint Security 安装在运行 Windows for Workstations 的计算机上，则该组件不可用。

Kaspersky Endpoint Security for Windows 11.11.0 包含日志审查组件。日志检查根据 Windows 事件日志分析的结果监控受保护环境的完整性。当应用程序在系统中检测到非典型行为的迹象时，它会通知管理员，因为该行为可能表示试图进行网络攻击。

Kaspersky Endpoint Security 分析 Windows 事件日志，并根据规则检测违规行为。该组件包括预定义规则。预定义规则由启发式分析提供支持。您还可以添加自己的规则（自定义规则）。当规则触发时，应用程序将创建具有“关键”状态的事件（参见下图）。

如果您要使用日志审查，请确保已配置安全审查策略，并且系统正在记录相关事件（有关详细信息，请参阅 Microsoft 技术支持网站）。

日志审查通知

日志审查设置

参数	描述
预定义规则	日志审查规则列表。预定义规则包括受保护计算机上异常活动的模板。异常活动可能表示攻击未遂。
自定义规则	用户添加的日志审查规则列表。您可以设置自己的日志审查规则和触发条件。为此，您必须输入事件 ID 并选择事件源。您可以从标准日志中选择事件源：Application、Security或System。您还可以指定第三方应用程序的日志。

参数

描述

预定义规则

日志审查规则列表。预定义规则包括受保护计算机上异常活动的模板。异常活动可能表示攻击未遂。

自定义规则

用户添加的日志审查规则列表。您可以设置自己的日志审查规则和触发条件。为此，您必须输入事件 ID 并选择事件源。

您可以从标准日志中选择事件源：Application、Security或System。您还可以指定第三方应用程序的日志。

另请参阅：通过本地界面管理应用程序