有关“系统事件日志”事件的信息

显示系统事件日志事件信息的窗口包含以下详细信息：

• 事件树。
• 处理事件时可以执行的操作。
• 系统事件日志部分：
  • IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

    单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。

    MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。

    如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。

  • 事件时间 — 检测到事件的时间。
  • 安全事件 ID — Windows 日志中安全事件类型的标识符。

  如果事件由 Kaspersky Endpoint Security for Linux 记录在事件数据库中，则系统事件日志部分还包括以下字段：

  • 事件类型 — 事件的类型。
  • 操作结果— 例如，成功或者已失败。
• 事件数据部分包含系统日志信息。数据范围取决于 Windows 事件的类型。

  事件数据部分不显示在由 Kaspersky Endpoint Agent for Linux 记录到事件数据库的事件的信息中。

• 事件发起者部分：
  • 文件 — 进程文件名。
  • 进程 ID — 进程标识符。
  • 命令 — 用于运行父进程的命令。
  • 环境变量 — 进程的环境变量。
  • 真实用户名 — 在系统中注册时指定的用户名称。
  • 真实组名称 — 用户所属的组。

  “事件发起者”部分不显示在由 Kaspersky Endpoint Agent for Windows 记录到事件数据库的事件的信息中。

• 系统信息部分：
  • 主机名称 — 发生事件的主机的名称。
  • 主机 IP — 在其上事件发生的主机的 IP 地址。

    如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。

    该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。

  • 用户名称 — 启动了进程的用户的名称，该进程启动了系统日志记录。
  • 操作系统版本 — 主机上正在使用的操作系统的版本。

    Kaspersky Endpoint Security for Linux 记录到事件数据库的事件信息还包括从远程主机登录字段，即从其执行远程登录的主机的名称。

在事件数据库中记录的 Kaspersky Endpoint Security for Linux 事件信息中，您可以单击带有文件名或文件路径的链接来打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行获取文件任务。
• 复制值到剪贴板。

单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 获取数据 → 文件、取证、磁盘镜像、内存转储。
  • 杀死进程。
  • 删除文件。
  • 隔离文件。
  • 运行应用程序。
• 复制值到剪贴板。

在事件数据库中记录的 Kaspersky Endpoint Security for Linux事件信息中，您可以单击主机名链接打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 杀死进程。
  • 删除文件。
  • 获取文件。
  • 隔离文件。
  • 运行应用程序。
• 复制值到剪贴板。

另请参阅 事件信息 事件处理建议 有关事件树中事件的信息 查看事件表 配置事件表显示 查看有关事件的信息 有关“进程已启动”事件的信息 有关“进程已终止”事件的信息 有关“模块已加载”事件的信息 有关“远程连接”事件的信息 “防御规则”事件信息 有关“文档被阻止”事件的信息 有关“文件已修改”事件的信息 有关“注册表更改”事件的信息 有关“端口被侦听”事件的信息 有关“驱动程序已加载”事件的信息 有关“DNS”事件的信息 有关“LDAP”事件的信息 有关“命名管道”事件的信息 有关“WMI”事件的信息 有关“检测”事件的信息 有关“检测处理结果”事件的信息 有关“被解释文件运行”事件的信息 有关“AMSI 扫描”事件的信息 有关“在控制台进行交互式命令输入”事件的信息 有关“代码注入”事件的信息 有关“进程访问”事件的信息 关于“USB 设备”事件的信息

页面顶部