Configuración de la recepción de mensajes del Monitor de integridad de archivos
Ciertas aplicaciones administradas, como Kaspersky Security for Windows Server y Kaspersky Security for Virtualization Light Agent, envían mensajes del Monitor de integridad de archivos a Kaspersky Security Center. Kaspersky Security Center también le permite supervisar cualquier cambio en los componentes importantes de los sistemas (por ejemplo, servidores web y cajeros automáticos) y responder lo antes posible a incumplimientos de la integridad de tales sistemas. Para tal fin, puede recibir los mensajes del componente Monitor de integridad de archivos. Este componente puede usarse para supervisar no solo el sistema de archivos de un dispositivo, sino también las subramas del Registro, el estado del firewall y el estado del hardware conectado.
Kaspersky Security Center debe configurarse para recibir los mensajes del Monitor de integridad de archivos sin usar Kaspersky Security for Windows Server o Kaspersky Security for Virtualization Light Agent.
Para configurar la recepción de mensajes del Monitor de integridad de archivos:
Abra el registro del sistema del dispositivo en el que está instalado el Servidor de administración (por ejemplo, de forma local con el comando regedit en el menú Iniciar → Ejecutar).
Cree la clave KLSRV_EVP_FIM_PERIOD_SEC para especificar el período de tiempo para contar el número de eventos procesados. Configure los siguientes ajustes:
Especifique KLSRV_EVP_FIM_PERIOD_SEC como nombre de la clave.
Especifique DWORD como tipo de clave.
Especifique un intervalo de valores para el intervalo de tiempo desde 43 200 hasta 172 800 segundos. De forma predeterminada, el intervalo de tiempo es 86 400 segundos.
Cree la clave KLSRV_EVP_FIM_LIMIT para limitar el número de eventos recibidos para el intervalo de tiempo especificado. Configure los siguientes ajustes:
Especifique KLSRV_EVP_FIM_LIMIT como nombre de clave.
Especifique DWORD como tipo de clave.
Especifique un intervalo de valores para eventos recibidos desde 2 000 hasta 50 000. El número predeterminado de eventos es de 20 000.
Cree la clave KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC para contar eventos con exactitud hasta un intervalo de tiempo específico. Configure los siguientes ajustes:
Especifique KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC como nombre de clave.
Especifique DWORD como tipo de clave.
Especifique un rango de valores de 120 a 600 segundos. De forma predeterminada, el intervalo de tiempo es 300 segundos.
Cree la clave KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC de modo que, después de la cantidad de tiempo especificada, la aplicación pueda comprobar si el número de eventos procesados a lo largo del intervalo de tiempo está siendo inferior al límite especificado. Esta verificación se realiza al alcanzar el límite de eventos que se pueden recibir. Si esta condición se cumple, la aplicación reanuda el almacenamiento de eventos en la base de datos. Configure los siguientes ajustes:
Especifique KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC como nombre de clave.
Especifique DWORD como tipo de clave.
Especifique un intervalo de valores desde 600 hasta 3 600 segundos. De forma predeterminada, el intervalo de tiempo es 1 800 segundos.
Si las claves no se crean, los valores predeterminados se utilizan.
Reinicie el servicio del Servidor de administración.
Se configurarán los límites de la recepción de eventos del componente Monitor de integridad de archivos. Puede ver los resultados del componente Monitor de integridad de archivos en los informes denominados Las 10 reglas Monitor de integridad de archivos / Control de integridad del sistema que se activaron con mayor frecuencia en los dispositivos y Los 10 dispositivos en los que más se han activado las reglas del Monitor de integridad de archivos o de Control de integridad del sistema.