Настройка срока хранения системных журналов и обнаружений Kaspersky Anti Targeted Attack Platform

Вы можете настроить срок хранения некоторых журналов и данных обнаружений в базе данных компонента Central Node, а также срок хранения журналов компонентов Sensor и Sandbox. По умолчанию данные обнаружений в базе данных компонента Central Node ротируются, когда количество записей об обнаружениях, созданных в результате проверки одной технологией, достигает 1 000 000. Срок хранения журналов по умолчанию составляет 90 дней.

Настройка параметров хранения журналов компонентов Central Node и Sensor осуществляется в меню администратора компонента Central Node или Sensor. Для настройки хранения журналов компонента Sandbox используются штатные средства операционной системы.

Вы можете настроить срок хранения следующих журналов:

• Central Node или Sensor:
  • Системный журнал Syslog.
  • Журнал пользовательских действий в веб-интерфейсе приложения user_actions.log.
  • Журнал событий ядра операционной системы kern.log.
  • Журнал авторизации пользователей в веб-интерфейсе и меню администратора компонента auth.log.
• Sandbox:
  • Журнал обновлений apt-history.log.
  • Журнал аудита системных событий apt-audit.log.
  • Журнал пользовательских действий в веб-интерфейсе приложения user_actions.log.
  • Журнал авторизации пользователей в веб-интерфейсе и меню администратора компонента auth.log.

Чтобы настроить срок хранения журналов компонентов Central Node или Sensor, а также срок хранения данных обнаружений в базе данных Central Node:

1. Если вы хотите настроить срок хранения журналов и данных обнаружений в базе данных компонента Central Node, войдите в консоль управления сервером Central Node по протоколу SSH или через терминал.
2. Если вы хотите настроить срок хранения журналов компонента Sensor, войдите в консоль управления сервером Sensor по протоколу SSH или через терминал.
3. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке компонента.

   Отобразится меню администратора компонента приложения.

4. Выберите пункт Program settings.
5. Нажмите на клавишу ENTER.

   Откроется окно Select action.

6. Выберите Configure storage period for detects and logs.
7. Нажмите на клавишу ENTER.

   Откроется окно Configure storage period.

8. Выберите Change storage period.

   Откроется окно Storage period.

9. В поле Storage period укажите время хранения журналов в днях. Максимальный срок хранения журналов, который вы можете указать, – 10 000 дней.

   Значение по умолчанию – 90.

10. Выберите Apply Changes.

    Откроется окно Apply storage period.

11. В открывшемся окне выберите Ок.

Срок хранения журналов компонентов Central Node или Sensor и срок хранения данных обнаружений (при изменении параметров для компонента Central Node) будут настроены.

Чтобы изменить срок хранения журналов Sandbox:

1. Если вы хотите изменить срок хранения журналов apt-audit.log, apt-history.log, user-actions.log, откройте файл /etc/logrotate.d/apt-audit для редактирования с root-правами и укажите новое значение параметра rotate для нужного журнала.
2. Если вы хотите изменить срок хранения журнала auth.log, откройте файл /etc/logrotate.d/auth для редактирования с root-правами и укажите новое значение параметра rotate.

   Максимальный срок хранения журналов, который вы можете указать, – 10 000 дней. По умолчанию максимальный срок хранения журналов составляет 90 дней.

Срок хранения журналов компонента Sandbox будет настроен.

В начало