在管理插件中配置日志设置

在管理插件中配置日志设置

您可以编辑 Kaspersky Security for Windows Server 日志的以下设置：

事件在任务日志和系统审核日志中存储的时间长度。
Kaspersky Security for Windows Server 在其中存储任务日志文件和系统审核日志文件的文件夹的位置。
应用程序数据库已过期、应用程序数据库已严重过期和已很长时间未执行关键区域扫描的事件生成阈值。
Kaspersky Security for Windows Server 在事件查看器中将保存到任务日志、系统审核日志和 Kaspersky Security for Windows Server 事件日志中的事件。
用于将审核事件和任务执行事件通过 Syslog 协议发布到 syslog 服务器的设置。

要配置 Kaspersky Security for Windows Server 日志，请执行下列步骤：

在应用程序控制台树中，打开“日志和通知”节点的上下文菜单，并选择“属性”。
将打开“日志和通知设置”窗口。

在“日志和通知设置”窗口中，根据需要配置日志。为此，请执行以下操作：

在“常规”选项卡上，如有必要，选择 Kaspersky Security for Windows Server 在事件查看器中将保存到任务日志、系统审核日志和 Kaspersky Security for Windows Server 事件日志中的事件。为此，请执行以下操作：
- 在“组件”列表中，选择您要设置其详细级别的 Kaspersky Security for Windows Server 组件。
对于“实时文件保护”、“RPC 网络存储保护”、“ICAP 网络存储保护”、“脚本监控”、“按需扫描”和“更新”组件，事件记录在任务日志和事件日志中。对于这些组件，事件表包含“任务日志”和“Windows 事件日志”列。“隔离”和“备份”组件的事件记录在系统审核日志和事件日志中。对于这些组件，事件表包含“审核”和“Windows 事件日志”列。
- 在“重要性级别”列表中，选择事件在任务日志、系统审核日志和选定的组件的事件日志中的详细级别。
  在包含事件列表的下表中，使用任务日志、系统审核日志和事件日志，根据当前详细级别记录的事件旁边的复选框被选中。
- 如果您想手动为选定的组件启用记录特定事件，请执行以下操作：
1. 在“重要性级别”列表中选择“自定义”。
2. 在包含事件列表的表格中，选中您想要记录到任务日志、系统审核日志和事件日志中的事件旁边的复选框。

在“高级”选项卡上，配置设备保护状态的日志存储设置和事件生成阈值：

在“日志存储”部分中：
- 日志文件夹
  采用 UNC（通用命名约定）格式的日志文件夹路径。
  
  默认路径：C:\ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\11\Reports\。
  
  如果更改默认路径，将创建一个具有相应名称的文件夹。新日志将存储在新文件夹中。旧日志将保留。
- 删除早于该天数的任务日志
  该复选框用于启用/禁用一项功能，即在指定的时间段后删除部分日志（日志中包含已完成任务的结果）和事件（发布在运行任务的日志中的事件）（默认为 30 天）。
  
  如果选中该复选框，Kaspersky Security for Windows Server 会在指定的时间段后删除部分日志（日志中包含已完成任务的结果）和事件（发布在运行任务的日志中的事件）。
  
  默认选中该复选框。
- 删除早于该天数的系统审核日志事件(天)
  该复选框用于启用/禁用一项功能，即在指定的时间段后删除系统审核日志中记录的事件（默认值为 60 天）。
  
  如果选中该复选框，Kaspersky Security for Windows Server 会在指定的时间段后删除系统审核日志中记录的事件。
  
  默认取消选中该复选框。

在“事件生成阈值”部分：

指定在经过多少天后，发生应用程序数据库已过期、应用程序数据库已严重过期和已很长时间未执行关键区域扫描事件。

在“SIEM 集成”选项卡上，配置用于将审核事件和任务执行事件发布到 syslog 服务器的设置。

单击“确定”以保存更改。

本节内容

关于 SIEM 集成

配置 SIEM 集成设置