Lọc các sự kiện được gửi đến KUMA
Để nâng cao hiệu năng và tối ưu hóa việc truyền dữ liệu đến máy chủ KUMA, bạn có thể thêm hoặc loại trừ thủ công từng sự kiện khỏi dữ liệu đo từ xa. Ví dụ: bạn có thể loại trừ các sự kiện Sysmon.
Cách tạo danh sách sự kiện sẽ được gửi đến KUMA trong Bảng điều khiển quản trị (MMC)
- Mở Bảng điều khiển quản trị Kaspersky Security Center.
- Trong cây bảng điều khiển, hãy chọn Policies.
- Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
- Trong cửa sổ chính sách, hãy chọn Thiết lập tổng quát → Loại trừ và loại đối tượng.
- Trong mục Loại trừ quét và ứng dụng được tin tưởng → Đo lường từ xa KUMA, hãy nhấn nút Thiết lập.
- Trong cửa sổ được hiển thị, hãy cấu hình bộ lọc sự kiện sẽ được gửi đến KUMA.
Bạn có thể cấu hình lọc sự kiện cho nhật ký Application, Security, System tiêu chuẩn hoặc thêm nhật ký khác theo cách thủ công.
- Nhấn vào Thêm hoặc mở thuộc tính nhật ký.
- Chọn chế độ gửi sự kiện:
- Gửi tất cả các sự kiện. Ở chế độ này, ứng dụng sẽ gửi tất cả các sự kiện từ nhật ký Windows, ngoại trừ các sự kiện được thêm vào quy tắc loại trừ.
- Chỉ gửi các sự kiện được chọn. Ở chế độ này, ứng dụng chỉ gửi các sự kiện được thêm vào các quy tắc bao gồm.
- Tạo danh sách quy tắc loại trừ hoặc quy tắc bao gồm cho chế độ gửi sự kiện liên quan.
Để thêm quy tắc, bạn cần chỉ định ID của sự kiện trong nhật ký sự kiện Windows. Bạn có thể liệt kê nhiều ID sự kiện trong một quy tắc. Để chỉ định nhiều ID sự kiện, hãy sử dụng ký tự dấu phẩy (",").
- Lưu các thay đổi của bạn. Để áp dụng chính sách trên máy tính, hãy đóng ổ khóa
.
Cách tạo danh sách các sự kiện sẽ được gửi đến KUMA trong Bảng điều khiển web
- Trong cửa sổ chính của Bảng điều khiển web, hãy chọn thẻ Assets (Devices) → Policies & profiles.
- Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
- Chọn thẻ Application settings.
- Vào General Settings → Telemetry Settings.
- Chọn thẻ KUMA telemetry.
- Trong cửa sổ được hiển thị, hãy cấu hình bộ lọc sự kiện sẽ được gửi đến KUMA.
Bạn có thể cấu hình lọc sự kiện cho nhật ký Application, Security, System tiêu chuẩn hoặc thêm nhật ký khác theo cách thủ công.
- Nhấn vào Add hoặc mở thuộc tính nhật ký.
- Chọn chế độ gửi sự kiện:
- Send all events. Ở chế độ này, ứng dụng sẽ gửi tất cả các sự kiện từ nhật ký Windows, ngoại trừ các sự kiện được thêm vào quy tắc loại trừ.
- Send only selected events. Ở chế độ này, ứng dụng chỉ gửi các sự kiện được thêm vào các quy tắc bao gồm.
- Tạo danh sách quy tắc loại trừ hoặc quy tắc bao gồm cho chế độ gửi sự kiện liên quan.
Để thêm quy tắc, bạn cần chỉ định ID của sự kiện trong nhật ký sự kiện Windows. Bạn có thể liệt kê nhiều ID sự kiện trong một quy tắc. Để chỉ định nhiều ID sự kiện, hãy sử dụng ký tự dấu phẩy (",").
- Lưu các thay đổi của bạn. Để áp dụng chính sách trên máy tính, hãy đóng ổ khóa
.