卡巴斯基安全管理中心中的 Kaspersky Security 事件
2018年4月2日
ID 133609
該部分包含卡巴斯基安全管理中心管理伺服器上寫入事件記錄的應用程式事件的累積的資訊。
卡巴斯基安全管理中心也允許您透過 Syslog 協議匯出 Kaspersky Security 事件到 SIEM 系統。
關於使用卡巴斯基安全管理中心管理伺服器上應用程式事件和政策,請參考 卡巴斯基安全管理中心管理手冊。
在卡巴斯基安全管理中心事件記錄中 Kaspersky Security 事件相關的觸發器
事件 | 事件重要等級 | 描述 |
受限制的掃描模式已啟用 | 緊急事件 | 此事件被記錄,如果應用程式元件切換至限制掃描模式。此事件記錄指定元件名稱以及切換至限制掃描模式的時間。 |
已偵測到已感染、已損壞或密碼防護物件 | 資訊訊息 | 此事件被記錄,如果通知節點中,在對應的事件和偵測到受感染、已損壞或受防護物件的通知主旨中選定了將以下事件記錄到 Windows 事件日誌中核取方塊。 |
已偵測到參數比對附件篩選條件的附加檔案 | 資訊訊息 | 此事件被記錄,如果通知節點中,在對應的事件和偵測到符合附件篩選條件的受感染檔案附件的通知主旨中選定了將以下事件記錄到 Windows 事件日誌中核取方塊。 |
偵測到外寄垃圾郵件或釣魚郵件 | 資訊訊息 | 如果應用程式偵測到發出的郵件包含垃圾郵件或釣魚內容,這樣的事件會被記錄。該事件記錄內容包含關於郵件的資訊。 |
應用程式元件錯誤 | 緊急事件 | 如果應用程式在一個元件的操作中登記任何錯誤。此事件被記錄。事件記錄指定元件名稱和錯誤描述。 |
預設,事件相關觸發器是儲存在卡巴斯基安全管理中心事件記錄中 30 天。您可以在卡巴斯基安全管理中心主控台上變更設定。
在卡巴斯基安全管理中心事件記錄中,Kaspersky Security 事件相關的應用病毒資料庫和垃圾郵件防護模組資料庫
事件 | 事件重要等級 | 描述 |
病毒資料庫為最新 | 資訊訊息 | 如果應用程式病毒資料庫已更新到最新版本,此事件被記錄。事件記錄指定資料庫發佈日期。 |
病毒資料庫已過期 | 緊急事件 | 此事件被記錄,如果病毒資料庫上次更新是在 24 小時之前。 |
垃圾郵件防護資料庫已過期 | 警告 | 此事件被記錄,如果垃圾郵件防護資料庫上次更新是在 5 小時之前。 |
病毒資料庫更新錯誤已修復。病毒資料庫已成功更新。 | 資訊訊息 | 此事件被記錄,如果病毒資料庫更新錯誤已修復,且資料庫已成功更新。事件記錄指定資料庫類型和發佈日期。 |
資料庫更新錯誤 | 緊急事件 | 此事件被記錄,如果應用程式資料庫更新失敗。事件記錄指定資料庫類型和錯誤描述。 |
垃圾郵件防護資料庫已更新 | 資訊訊息 | 如果垃圾郵件防護資料庫已更新到最新版本,這樣的事件會被記錄。事件記錄指定資料庫類型和發佈日期。 |
垃圾郵件防護資料庫更新錯誤已修復。垃圾郵件防護資料庫已成功更新 | 資訊訊息 | 如果在應用程式垃圾郵件防護資料庫中的更新錯誤被修復,且資料庫已成功更新,這樣的事件會被記錄。事件記錄指定資料庫類型和發佈日期。 |
預設情況下,應用程式資料庫相關的事件會在卡巴斯基安全管理中心事件記錄中儲存 30 天。您可以在卡巴斯基安全管理中心主控台上變更設定。
卡巴斯基安全管理中心事件記錄中與應用程式存取 SQL Server 相關的 Kaspersky Security 事件
事件 | 事件重要等級 | 描述 |
連線 SQL 伺服器時出錯 | 緊急事件 | 此事件被記錄,如果應用程式在 SQL Server 註冊錯誤。此事件記錄指定資料庫名稱、SQL 伺服器名稱和錯誤描述。 |
SQL 伺服器連線已還原 | 資訊訊息 | 此事件被記錄,如果 SQL 資料庫的存取已還原。 |
預設情況下,應用程式資料庫相關的事件會在卡巴斯基安全管理中心事件記錄中儲存 30 天。您可以在卡巴斯基安全管理中心主控台上變更設定。
卡巴斯基安全管理中心事件記錄中與應用程式產品授權相關的 Kaspersky Security 事件
事件 | 事件重要等級 | 描述 |
Security Server 金鑰上執行了一個操作 | 資訊訊息 | 此事件被記錄,如果金鑰狀態、產品授權到期日期、使用者數量或產品授權類型被變更。此事件記錄指定金鑰、產品授權類型、產品授權到期日期和產品授權使用者數量。 |
使用者已執行了關於 Security Server 金鑰的操作 | 資訊訊息 | 此事件被記錄,如果使用者對 Security Server 金鑰執行了操作。事件記錄指定使用者帳戶。 |
未偵測到啟動金鑰 | 緊急事件 | 此事件被記錄,如果通知節點中,在對應的事件和未偵測到啟動金鑰的通知主旨中選定了在 Windows 事件記錄和卡巴斯基安全管理中心事件記錄中記錄事件核取方塊。 |
產品授權已到期 | 緊急事件 | 此事件被記錄,如果通知節點中,在對應的事件的通知主旨中選定了在 Windows 事件記錄和卡巴斯基安全管理中心事件記錄中記錄事件核取方塊,配置了產品授權到期提前通知(提前天數)設定,且啟動授權已到期。此事件記錄指定金鑰、產品授權到期日期和距離到期日期的剩餘天數。 |
產品授權即將到期 | 警告 | 此事件被記錄,如果通知節點中,在對應的事件和啟動授權即將到期的通知主旨中選定了在 Windows 事件記錄和卡巴斯基安全管理中心事件記錄中記錄事件核取方塊。此事件記錄指定金鑰、產品授權到期日期和距離到期日期的剩餘天數。 |
產品授權狀態已長時間未更新 | 警告 | 如果在通知節點的在 Windows 事件記錄和卡巴斯基安全管理中心事件記錄中記錄事件核取方塊被選中,且應用程式無法更新產品授權狀態,這樣的事件會被記錄。此事件記錄指定金鑰、產品授權到期日期和距離到期日期的剩餘天數,直到應用程式轉到限制功能模式。 |
更新產品授權狀態時出錯 | 緊急事件 | 如果通知節點中的在 Windows 事件記錄和卡巴斯基安全管理中心事件記錄中記錄事件核取方塊被選中,應用程式無法更新產品授權狀態,且產品授權更新已經到期,這樣的事件會被記錄。事件記錄提供錯誤發生原因的詳細描述。 |
預設情況下,應用程式授權相關的事件會在卡巴斯基安全管理中心事件記錄中儲存 30 天。您可以在卡巴斯基安全管理中心主控台上變更設定。
卡巴斯基安全管理中心事件記錄中與 DLP 模組相關的 Kaspersky Security 事件
事件 | 事件重要等級 | 描述 |
Kaspersky Lab 類別已更新 | 資訊訊息 | 如果 Kaspersky Lab 類別在更新資料庫時更新,這樣的事件會被記錄。此事件記錄指定已更新的類別名稱,以及他們的簡單描述。 |
使用者已嘗試傳送一個事件到他/她自己的電子郵件信箱 | 警告 | 此事件被記錄,如果安全人員請求將事件詳細資訊傳送至他/她自己的電子郵件信箱。 |
使用者嘗試存檔事件 | 警告 | 此事件被記錄,如果安全人員嘗試建立事件存檔。 |
在 DLP 模組操作期間建立的新事件 | 警告 | 此事件被記錄,如果偵測到違反安全政策的電子郵件訊息,或如果建立了基於 DLP 模組操作結果的新事件。 |
使用者嘗試將附加到事件的物件儲存到磁碟 | 警告 | 此事件被記錄,如果安全人員請求將事件附加物件儲存至磁碟。 |
預設情況下,DLP 模組相關的事件不會在卡巴斯基安全管理中心事件記錄中儲存。您可以在卡巴斯基安全管理中心主控台上變更設定。
卡巴斯基安全管理中心事件記錄中與監控和稽核相關的 Kaspersky Security 事件
事件 | 事件重要等級 | 描述 |
集線傳輸伺服器病毒防護已啟用 | 資訊訊息 | 此事件被記錄,如果應用程式登記集線傳輸伺服器病毒防護元件的啟用。 |
集線傳輸伺服器病毒防護已停用 | 警告 | 此事件被記錄,如果應用程式登記集線傳輸伺服器病毒防護元件的停用。 |
信箱伺服器病毒防護已啟用 | 資訊訊息 | 此事件被記錄,如果應用程式登記信箱伺服器病毒防護元件的啟用。 |
信箱伺服器病毒防護已停用 | 警告 | 此事件被記錄,如果應用程式登記信箱伺服器病毒防護元件的停用。 |
垃圾郵件防護已啟用 | 資訊訊息 | 此事件被記錄,如果應用程式登記垃圾郵件防護元件的啟用。 |
垃圾郵件防護已停用 | 警告 | 此事件被記錄,如果應用程式登記垃圾郵件防護元件的停用。 |
一個背景掃描工作已停止 | 資訊訊息 | 此事件被記錄,如果背景掃描停止。此事件記錄指定掃描停止原因。 |
病毒防護掃描統計 | 資訊訊息 | 此事件被記錄,如果自訂掃描已被手動或自動執行(按排程)。此事件記錄指定使用者類型。 |
DLP 模組已啟用 | 資訊訊息 | 此事件被記錄,如果應用程式登記 DLP 模組的啟用。 |
DLP 模組已停用 | 警告 | 此事件被記錄,如果應用程式登記 DLP 模組的停用。 |
使用者已變更了應用程式設定 | 資訊訊息 | 此事件被記錄,如果使用者變更了應用程式設定。事件記錄指定變更設定的使用者帳戶,以及關於已變更的應用程式設定的詳細資訊。 |
使用者已嘗試開始背景掃描 | 資訊訊息 | 此事件被記錄,如果使用者請求運行自訂掃描工作。事件記錄指定使用者帳戶。 |
使用者已嘗試停止背景掃描 | 資訊訊息 | 此事件被記錄,如果使用者嘗試停止背景掃描工作。事件記錄指定使用者帳戶和停止工作的原因。 |
附件篩選已啟用 | 資訊訊息 | 此事件被記錄,如果應用程式登記附件篩選元件的啟用。 |
附件篩選已停用 | 警告 | 此事件被記錄,如果應用程式登記附件篩選元件的停用。 |
預設情況下,監控和稽核相關的事件會在卡巴斯基安全管理中心事件記錄中儲存 30 天。您可以在卡巴斯基安全管理中心主控台上變更設定。
卡巴斯基安全管理中心事件記錄中與備份相關的 Kaspersky Security 事件
事件 | 事件重要等級 | 描述 |
使用者已傳送一個備份物件到電子郵件信箱 | 資訊訊息 | 如果使用者試圖從備份中傳送給收件者可能感染的物件,這樣的事件會被記錄。事件記錄指定關於物件的詳細資訊和使用者帳戶。 |
使用者已傳送一個備份物件到 Kaspersky Lab 以進行分析 | 資訊訊息 | 此事件被記錄,如果使用者將備份中的一個可能已感染物件傳送至 Kaspersky Lab 進行檢查。事件記錄指定關於物件的詳細資訊和使用者帳戶。 |
使用者已傳送一個標記為垃圾郵件的訊息到 Kaspersky Lab 以進行分析 | 資訊訊息 | 此事件被記錄,如果使用者嘗試將備份中的一個物件傳送至 Kaspersky Lab 進行分析,但是應用程式錯誤的將此物件認定為垃圾郵件。事件記錄指定關於物件的詳細資訊和使用者帳戶。 |
使用者已嘗試儲存一個備份物件到磁碟 | 資訊訊息 | 此事件被記錄,如果使用者請求將備份中的一個物件儲存至硬碟。事件記錄指定關於物件的詳細資訊和使用者帳戶。 |
使用者已從備份中移除一個物件 | 資訊訊息 | 此事件被記錄,如果從備份中刪除物件。如果使用者刪除了物件,事件記錄指定關於物件的詳細資訊和使用者帳戶。根據備份設定,應用程式刪除一個物件。 |
預設情況下,與備份相關的事件不會在卡巴斯基安全管理中心事件記錄中儲存。您可以在卡巴斯基安全管理中心主控台上變更設定。