配置 Kaspersky Anti Targeted Attack Platform 系统日志和警报的保留期

您可以配置 Central Node 组件数据库中部分日志和警报数据的保留时间，以及 Sensor 和 Sandbox 日志的保留时间。默认情况下，当某项特定技术的警报数量达到 1000000 时，Central Node 数据库中的警报数据就会轮换。日志的默认保留期为 90 天。

您可以在 Central Node 或 Sensor 组件的管理员菜单中配置 Central Node 和 Sensor 组件的日志保留。您可以使用操作系统的标准工具配置 Sandbox 日志的保留。

您可以配置以下日志的保留期：

• Central Node 或 Sensor：
  • Syslog。
  • user_actions.log，Web 界面中用户操作的日志。
  • kern.log，操作系统的内核事件日志。
  • auth.log，Web 界面和组件管理员菜单中用户授权的日志。
• Sandbox：
  • apt-history.log，更新日志。
  • apt-audit.log，系统事件审计日志。
  • user_actions.log，Web 界面中用户操作的日志。
  • auth.log，Web 界面和组件管理员菜单中用户授权的日志。

要配置 Central Node 或 Sensor 日志的保留期，以及 Central Node 数据库中警报数据的保留期：

1. 如果要配置 Central Node 组件数据库中日志和警报数据的保留期，请使用 SSH 或者终端登录 Central Node 服务器的管理控制台。
2. 如果要配置 Sensor 日志的保留期，请使用 SSH 或终端登录 Sensor 服务器的管理控制台。
3. 系统提示时，请输入管理员用户名和安装组件期间指定的密码。

   显示应用程序组件管理员菜单。

4. 选择“程序设置”。
5. 按 ENTER 键。

   这将打开“选择操作”窗口。

6. 选择“配置检测和日志的存储期限”。
7. 按 ENTER 键。

   这将打开“配置存储期限”窗口。

8. 选择“更改存储期限”。

   这将打开“存储期限”窗口。

9. 在“存储期限”字段中，指定日志保留期限（以天为单位）。您可以指定的最大日志保留期限为 10000 天。

   默认值为 90。

10. 选择“应用更改” 。

    这将打开“应用存储期限”窗口。

11. 在显示的窗口中，选择“确定” 。

Central Node 或 Sensor 日志的保留期以及警报数据的保留期（当 Central Node 设置发生更改时）已配置。

要更改 Sandbox 日志的保留期：

1. 如果要更改 apt-audit.log、apt-history.log、user-actions.log 日志的保留期，请以 root 身份打开 /etc/logrotate.d/apt-audit 文件进行编辑，并更改相关日志的“rotate”设置。
2. 如果要更改 auth.log 的保留期，请以 root 身份打开 /etc/logrotate.d/auth 文件进行编辑，并更改“rotate”设置。

   您可以指定的最大日志保留期限为 10000 天。默认情况下，日志保留期为 90 天。

已配置 Sandbox 日志的保留期限。

页面顶部