Struktura danych opisu typu zdarzeń

19 marca 2024

ID 181756

Dla każdego typu zdarzenia dostarczone są następujące elementy: wyświetlana nazwa, identyfikator (ID), kod alfabetyczny, opis oraz domyślny czas przechowywania.

  • Nazwa wyświetlanego typu zdarzenia. Ten tekst jest wyświetlany w Kaspersky Security Center, gdy konfigurujesz zdarzenia oraz podczas występowania zdarzeń.
  • ID typu zdarzenia. Ten kod numeryczny jest używany, gdy przetwarzasz zdarzenia przy użyciu narzędzi firm trzecich do analizy zdarzeń.
  • Typ zdarzenia (kod alfabetyczny). Ten kod jest używany, gdy przeglądasz i przetwarzasz zdarzenia, korzystając z widoków publicznych, dostępnych w bazie danych Kaspersky Security Center, a także podczas eksportowania zdarzeń do systemu SIEM.
  • Opis. Ten tekst zawiera sytuacje, gdy zdarzenie wystąpi i co należy zrobić w takiej sytuacji.
  • Domyślny czas przechowywania. To jest liczba dni, przez jaką zdarzenie jest przechowywane w bazie danych Serwera administracyjnego i jest wyświetlane na liście zdarzeń na Serwerze administracyjnym. Po upłynięciu tego czasu, zdarzenie jest usuwane. Jeśli wartość czasu przechowywania zdarzenia to 0, takie zdarzenia są wykrywane, ale nie są wyświetlane na liście zdarzeń na Serwerze administracyjnym. Jeśli skonfigurowałeś zapisywanie takich zdarzeń w dzienniku zdarzeń systemu operacyjnego, znajdziesz je tam.

    Możesz zmienić czas przechowywania zdarzeń:

Inne dane mogą zawierać następujące pola:

  • event_id: unikatowa liczba zdarzeń w bazie danych, wygenerowana i przypisana automatycznie; nie mylić z ID typu zdarzenia.
  • task_id: identyfikator zadania, które spowodowało wystąpienie zdarzenia (jeśli są jakiekolwiek)
  • severity: jeden z następujących priorytetów (w kolejności rosnącej):

    0) Niepoprawny priorytet

    1) Informacja

    2) Ostrzeżenie

    3) Błąd

    4) Krytyczny

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.