在事件記錄中新增或排除記錄

事件記錄僅對執行卸除式磁碟上的檔案可用。

若要啟用或停用事件記錄，請執行下列操作：

1. 開啟程式設定視窗。
2. 在視窗左側的“端點控制”區域中，選擇“裝置控制”。

   在視窗右側，將顯示裝置控制元件的設定。

3. 在視窗右側，選擇“裝置類型”頁籤。

   “裝置類型”頁籤包含裝置控制元件分類中包括的所有裝置的存取規則。

4. 選取裝置表中的“卸除式磁碟機”。

   表上方的“日誌記錄”按鈕將可用。

5. 點擊“日誌記錄”按鈕。

   這會開啟“日誌記錄設定”視窗。

6. 請執行以下操作之一：
   • 如果您希望啟用記錄卸除式磁碟上的檔案刪除和寫入操作，請選取“啟用日誌記錄”核取方塊。

     Kaspersky Endpoint Security 會將事件儲存在建立檔案中並傳送訊息至卡巴斯基安全管理中心管理伺服器，無論使用者是否在卸除式磁碟上寫入或刪除檔案。

   • 否則，清空“啟用日誌記錄”核取方塊。
7. 指定必須記錄的操作。若要進行操作，請執行下列操作之一：
   • 如果您希望 Kaspersky Endpoint Security 記錄所有事件，則選取“儲存所有檔案資訊”核取方塊。
   • 如果您希望 Kaspersky Endpoint Security 只記錄有關特定格式檔案的資訊，請在“檔案格式篩選”區域中選取相關檔案格式對應的核取方塊。
8. 指定必須記錄為事件的 Kaspersky Endpoint Security 使用者操作。為此，請參閱以下執行操作：
   1. 在“使用者”區域，點擊“選取”按鈕。

      Microsoft Windows 中將開啟“選取使用者或群組”視窗。

   2. 指定或編輯使用者和使用者群組清單。

   “使用者”區域中指定的使用者在卸除式磁碟上寫入檔案或刪除檔案時，Kaspersky Endpoint Security 會將此類操作的資訊寫入事件記錄並將訊息傳送至卡巴斯基安全管理中心管理伺服器。

9. 在“日誌記錄設定”視窗中，點擊“確定”。
10. 要儲存變更，請點擊“儲存”按鈕。

您可以在卡巴斯基安全管理中心管理主控台中檢視移動磁碟機上與檔案關聯的事件，其位於事件標籤上管理伺服器節點的工作區中。要使事件顯示在本機 Kaspersky Endpoint Security 事件日誌中，您必須選擇“裝置控制”元件的通知設定中的執行檔操作核取方塊。

頁面頂部