記錄檢查

如果 Kaspersky Endpoint Security 安裝在執行 Windows for Servers 的電腦上，則該元件可用。如果 Kaspersky Endpoint Security 安裝在執行 Windows for Workstations 的電腦上，則該元件可用。

Kaspersky Endpoint Security for Windows 11.11.0 包括記錄檢查元件。記錄檢查會基於 Windows 事件記錄分析結果監控受防護環境的完整性。如果應用程式在系統中偵測到有非典型行為的跡象，它會通知管理員，因為該行為可能表明有人嘗試網路攻擊。

Kaspersky Endpoint Security 根據規則分析 Windows 事件記錄和偵測違規。元件包括預定義規則。預定義規則由啟發式分析提供支援。您也可以新增您自己的規則（自訂規則）。當規則觸發時，應用程式會建立一個狀態為“緊急”的事件（請見下圖）。

如果您想要使用記錄檢查，請確保安全稽核政策已配置且系統正在記錄相關事件（詳情請見 Microsoft 技術支援網站）。

記錄檢查通知

記錄檢查設定

參數	描述
預定義規則	記錄檢查規則清單。預定義規則包括受防護電腦上異常活動的範本。異常活動可能表明有人嘗試攻擊。
自訂規則	使用者新增的記錄檢查規則清單。您可以設定自己的記錄檢查規則觸發條件。為此，您必須輸入一個事件 ID 並選擇一個事件來源。您可以從標準記錄中選擇一個事件來源：Application，Security或System。您也可以指定協力廠商應用程式的記錄。

參數

描述

預定義規則

記錄檢查規則清單。預定義規則包括受防護電腦上異常活動的範本。異常活動可能表明有人嘗試攻擊。

自訂規則

使用者新增的記錄檢查規則清單。您可以設定自己的記錄檢查規則觸發條件。為此，您必須輸入一個事件 ID 並選擇一個事件來源。

您可以從標準記錄中選擇一個事件來源：Application，Security或System。您也可以指定協力廠商應用程式的記錄。

另請參閱：透過本機介面管理應用程式