配置从文件完整性监控接收消息

类如 Kaspersky Security for Windows Server 或 Kaspersky Security for Virtualization Light Agent 的受管理应用程序从文件完整性监控发送消息到 Kaspersky Security Center。Kaspersky Security Center 也允许您监控到系统重要组件（例如 Web 服务器和 ATM）的任何更改，并对系统的完整性的破坏做出响应。对于这些目的，您可以从文件完整性监控组件接收消息。文件完整性监控组件允许您不仅监控设备的文件系统，也监控防火墙状态和所连接硬件的状态。

您必须配置 Kaspersky Security Center 以从文件完整性监控组件接收消息，而不使用 Kaspersky Security for Windows Server 或 Kaspersky Security for Virtualization Light Agent。

要配置从文件完整性监控接收消息：

1. 打开安装了管理服务器的设备的注册表（例如，在开始 → 运行菜单使用 regedit 命令）。
2. 转至以下分支：
   • 对于 32 位系统：

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags

   • 对于 64 位系统：

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags

3. 创建键：
   • 创建键 KLSRV_EVP_FIM_PERIOD_SEC 以指定计算所处理事件数量的时间段。指定下列设置：
     1. 指定 KLSRV_EVP_FIM_PERIOD_SEC 做为键名称。
     2. 指定 DWORD 做为键类型。
     3. 指定介于 43 200 和 172 800 秒之间的时间间隔值范围。默认情况下，时间间隔是 86 400 秒。
   • 创建键 KLSRV_EVP_FIM_LIMIT 以限制指定时间段收到事件的数量。指定下列设置：
     1. 指定 KLSRV_EVP_FIM_LIMIT 做为键名称。
     2. 指定 DWORD 做为键类型。
     3. 指定介于 2 000和 50 000 之间的接收事件数量值范围。默认事件数量是 20 000。
   • 创建键 KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC 以精确计算特定时间间隔的事件数量。指定下列设置：
     1. 指定 KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC 做为键名称。
     2. 指定 DWORD 做为键类型。
     3. 指定介于 120 到 600 秒的值范围。默认时间间隔为 300 秒。
   • 创建键 KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC，以便在指定的时间段后，应用程序可以检查在相应时间间隔内处理的事件数量是否少于指定限制。该检查在达到接收事件的限制时执行。如果该条件被满足，应用程序恢复保存事件到数据库。指定下列设置：
     1. 指定 KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC 做为键名称。
     2. 指定 DWORD 做为键类型。
     3. 指定介于 600 到 3 600 秒的值范围。默认时间间隔为 1 800 秒。

   如果键未创建，默认值被使用。

4. 重启管理服务器服务。

接收来自文件完整性监控组件的事件的限制将被配置。您可以在报告“在设备上触发次数最频繁的 10 条文件完整性监控/系统完整性监控规则”和“文件完整性监控/系统完整性监控规则触发最频繁的 10 台设备”中查看文件完整性监控组件的结果。

页顶