在管理外掛程式中配置記錄設定

在管理外掛程式中配置記錄設定

您可以編輯 Kaspersky Security for Windows Server 記錄的以下設定：

事件在工作記錄和系統稽核記錄中儲存的時間長度。
Kaspersky Security for Windows Server 在其中儲存工作記錄檔案和系統稽核記錄檔案的資料夾的位置。
應用程式資料庫已過期、應用程式資料庫已嚴重過期和長時間未執行關鍵區域掃描的事件產生上限值。
Kaspersky Security for Windows Server 在事件檢視器中將儲存到工作記錄、系統稽核記錄和 Kaspersky Security for Windows Server 事件記錄中的事件。
用於將稽核事件和工作執行事件透過 Syslog 協定發佈到 syslog 伺服器的設定。

要設定 Kaspersky Security for Windows Server 記錄，請執行下列步驟：

在應用程式主控台樹狀目錄中，開啟“記錄和通知”節點的內容功能表，並選擇“內容”。
將開啟“記錄和通知設定”視窗。

在“記錄和通知設定”視窗中，根據需要設定記錄。為此，請執行以下操作：

在“一般”標籤上，如有必要，選擇 Kaspersky Security for Windows Server 在事件檢視器中將儲存到工作記錄、系統稽核記錄和 Kaspersky Security for Windows Server 事件記錄中的事件。為此，請執行以下操作：
- 在“元件”清單中，選擇您要設定其詳細等級的 Kaspersky Security for Windows Server 元件。
對於“即時檔案防護”、“RPC 網路儲存防護”、“ICAP 網路儲存防護”、“指令碼監控”、“自訂掃描”和“更新”元件，事件記錄在工作記錄和事件記錄中。對於這些元件，事件表格包含“工作記錄”和“Windows 事件記錄”欄位。“隔離”和“備份”元件的事件記錄在系統稽核記錄和事件記錄中。對於這些元件，事件表格包含“稽核”和“Windows 事件記錄”欄位。
- 在“重要性等級”清單中，選擇事件在工作記錄、系統稽核記錄和選定元件的事件記錄中的詳細等級。
  在包含事件清單的下表中，使用工作記錄、系統稽核記錄和事件記錄，根據目前詳細等級記錄的事件選取旁邊的核取方塊。
- 如果您想手動為選定的元件啟用記錄特定事件，請執行以下操作：
1. 在“重要性等級”清單中選擇“自訂”。
2. 在包含事件清單的表格中，選定您想要記錄到工作記錄、系統稽核記錄和事件記錄中事件旁邊的核取方塊。

在“進階”標籤上，配置裝置防護狀態的記錄儲存設定和事件產生上限值：

在“記錄儲存”部分中：
- 記錄資料夾
  採用 UNC（通用命名慣例）格式的記錄資料夾路徑。
  
  默认路径：C:\ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\11\Reports\。
  
  如果變更預設路徑，將建立一個具有相應名稱的資料夾。新記錄將儲存在新資料夾中。舊記錄將保留。
- 刪除早於該天數的工作記錄
  該核取方塊用於啟用/停用一項功能，即在指定的時間段後刪除區段日誌（日誌中包含已完成任務的結果）和事件（發佈在運行任務的日誌中的事件）（預設時段：30 天）。
  
  如果所選該核取方塊，Kaspersky Security for Windows Server 會在指定的時間後刪除區段記錄（記錄中包含已完成工作的結果）和事件（發佈在執行工作的記錄中的事件）。
  
  預設將會選定該核取方塊。
- 刪除早於該天數的系統稽核記錄事件（天）
  該核取方塊用於啟用/停用一項功能，即在指定的時段後刪除系統稽核日誌中記錄的事件（預設時段：60 天）。
  
  如果選取該核取方塊，Kaspersky Security for Windows Server 會在指定的時間段後刪除系統稽核記錄中記錄的事件。
  
  預設取消選定該核取方塊。

在“事件產生上限值”部分：

指定應用程式資料庫已過期、應用程式資料庫已嚴重過期和長時間未執行關鍵區域掃描的事件將發生的天數。

在“SIEM 整合”標籤上，配置用於將審核事件和工作執行事件發佈到 syslog 伺服器的設定。

點擊“確定”以儲存變更。

本章節說明項目

關於 SIEM 整合

配置 SIEM 整合設定