附錄 6。Windows 事件日誌中的應用程式事件
有關每個 Kaspersky Endpoint Security 元件的操作、資料加密事件、每個掃描工作的效能、更新工作和完整性檢查工作以及應用程式的整體操作的資訊都記錄在 Windows 事件日誌中。
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 違反了最終使用者產品授權協議。 | ||
| 產品授權即將過期。 | – | |
| 資料庫缺失或損壞。 | – | |
| 資料庫已過時。 | – | |
| 應用程式自動執行已停用。 | – | |
| 啟動錯誤。 | ||
| 偵測到活動威脅。必須啟動進階解毒。 | ||
| KSN 伺服器不可用。 | – | |
| 隔離儲存中空間不足。 | ||
| 未從隔離中還原的物件。 | ||
| 未從隔離中刪除的物件。 | ||
| 無法執行工作。 | – | |
| 應用程式在上一個工作階段期間崩潰。 | ||
| 產品授權很快到期。 | – | |
| 資料庫已過時。 | – | |
| 自動更新已停用。 | – | |
| 自衛已停用。 | – | |
| 防護元件已停用。 | – | |
| 電腦以安全模式執行。 | – | |
| 有未處理的檔案。 | – | |
| 群組政策已套用。 | ||
| 工作已停止。 | – | |
| 重新啟動應用程式以完成更新。 | – | |
| 需要重新啟動電腦。 | ||
| 產品授權允許使用尚未安裝的元件。 | – | |
| 進階解毒開始。 | – | |
| 進階解毒完成。 | – | |
| 儲備金鑰不正確。 | – | |
| 訂購將很快到期。 | ||
| 無法從備份還原物件。 | – | |
| 偵測到可疑網路活動。 | – | |
| 加密連線已終止。 | ||
| 參與 KSN 已停用。 | – | |
| 某些作業系統功能的處理被停用。 | ||
| 隔離儲存幾乎沒有空間了。 | ||
| 應用程式已開始。 | ||
| 應用程式已停止。 | ||
| 具有應用程式資源的操作被自衛封鎖。 | – | |
| 報告已清除。 | ||
| 群組政策已停用。 | – | |
| 應用程式設定已變更。 | ||
| 工作已開始。 | – | |
| 工作已完成。 | – | |
| 產品授權定義的所有應用程式元件均已安裝並以正常模式執行。 | – | |
| 訂購設定已變更。 | ||
| 訂購已續約。 | ||
| 物件被從備份還原。 | – | |
| 輸入使用者名稱和密碼。 | – | |
| 已啟用參與 KSN。 | – | |
| KSN 伺服器可用。 | – | |
| 該應用程式將根據相關法律工作和處理資料,並使用適當的基礎架構。 | ||
| 從隔離中還原的物件。 | ||
| 從隔離中刪除的物件。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
302 | 偵測到惡意物件。 | – | |
| 無法刪除。 | – | |
| 處理程序已終止。 | – | |
| 無法終止處理程序。 | – | |
| 回溯完成。 | – | |
| 已封鎖。 | – | |
| 物件已刪除。 | – | |
| 物件將在重新啟動時將被刪除。 | – | |
| 無法建立備份副本。 | – | |
| 偵測到可被侵入者利用以破壞您的電腦或個人資料的合法軟體。 | – | |
| 檔案已還原。 | – | |
| 已建立物件的備份副本。 | – | |
| 登錄檔值已還原。 | – | |
| 登錄檔值已刪除。 | – | |
| 物件已重命名。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到惡意物件。 | – | |
| 已封鎖。 | – | |
| 回溯完成。 | – | |
| 物件已刪除。 | – | |
| 物件將在重新啟動時將被刪除。 | – | |
| 檔案已還原。 | – | |
| 登錄檔值已還原。 | – | |
| 登錄檔值已刪除。 | – | |
| 物件已重命名。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到惡意物件。 | ||
| 不可解毒。 | – | |
| 無法刪除。 | – | |
| 處理錯誤。 | – | |
| 處理程序已終止。 | – | |
| 無法終止處理程序。 | – | |
| 無法建立備份副本。 | – | |
| 物件未處理。 | – | |
| 物件已加密。 | – | |
| 物件損壞。 | – | |
| 物件將在重新啟動時將被刪除。 | – | |
| 物件將在重新啟動時將被解毒。 | – | |
| 偵測到可被侵入者利用以破壞您的電腦或個人資料的合法軟體。 | – | |
| 無法從備份還原物件。 | – | |
| 物件已刪除。 | – | |
| 物件已解毒。 | – | |
| 物件已處理。 | – | |
| 已建立物件的備份副本。 | – | |
| 物件被略過。 | – | |
| 偵測到封存。 | – | |
| 偵測到封包物件。 | – | |
| 被先前已解毒的副本覆寫。 | – | |
| 有關偵測到的物件的資訊。 | – | |
| 偵測到受密碼防護的封存。 | – | |
| 物件被從備份還原。 | – | |
| 應用程式放置在受信任群組中。 | – | |
| 應用程式放置在受限制群組中。 | – | |
| 主機入侵防禦已觸發。 | – | |
| 物件在“私人KSN”允許清單中。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到惡意物件。 | ||
| 不可解毒。 | – | |
| 無法刪除。 | – | |
| 處理錯誤。 | ||
| 處理程序已終止。 | – | |
| 無法終止處理程序。 | – | |
| 無法建立備份副本。 | – | |
| 物件未處理。 | – | |
| 物件已加密。 | – | |
| 物件損壞。 | – | |
| 物件將在重新啟動時將被刪除。 | – | |
| 物件將在重新啟動時將被解毒。 | – | |
| 偵測到可被侵入者利用以破壞您的電腦或個人資料的合法軟體。 | – | |
| 無法從備份還原物件。 | – | |
| 物件已刪除。 | – | |
| 物件已解毒。 | – | |
| 回溯完成。 | – | |
| 物件已處理。 | – | |
| 已建立物件的備份副本。 | – | |
| 物件被略過。 | – | |
| 偵測到封存。 | – | |
| 偵測到封包物件。 | – | |
| 被先前已解毒的副本覆寫。 | – | |
| 偵測到受密碼防護的封存。 | – | |
| 有關偵測到的物件的資訊。 | – | |
| 物件被從備份還原。 | – | |
| 物件在“私人KSN”允許清單中。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到惡意物件。 | ||
| 危險連接已封鎖。 | ||
| 危險連接已開啟。 | ||
| 偵測到先前開啟的危險連接。 | ||
| 處理錯誤。 | ||
| 偵測到可被侵入者利用以破壞您的電腦或個人資料的合法軟體。 | – | |
| 已封鎖 | – | |
| 物件下載被封鎖。 | – | |
| 物件損壞。 | – | |
| 物件已處理。 | – | |
| 已處理連結。 | – | |
| 有關偵測到的物件的資訊。 | – | |
| 偵測到封包物件。 | – | |
| 偵測到封存。 | – | |
| 偵測到受密碼防護的封存。 | – | |
| 連接位於“私有 KSN”允許清單中。 | ||
| 物件在“私人KSN”允許清單中。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到惡意物件。 | ||
| 不可解毒。 | – | |
| 處理錯誤。 | ||
| 物件未處理。 | – | |
| 偵測到可被侵入者利用以破壞您的電腦的合法軟體。 | – | |
| 物件損壞。 | – | |
| 無法從備份還原物件。 | – | |
| 物件已刪除。 | – | |
| 根據設定被刪除的物件。 | – | |
| 物件已解毒。 | – | |
| 物件已處理。 | – | |
| 已建立物件的備份副本。 | – | |
| 偵測到封存。 | – | |
| 偵測到封包物件。 | – | |
| 物件已重命名。 | – | |
| 有關偵測到的物件的資訊。 | – | |
| 偵測到受密碼防護的封存。 | – | |
| 物件被從備份還原。 | – | |
| 物件在“私人KSN”允許清單中。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 網路活動被封鎖。 | ||
| 允許網路活動。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到網路攻擊。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 鍵盤未經授權。 | ||
| 鍵盤授權錯誤。 | ||
| 鍵盤被授權。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到惡意物件。 | ||
| AMSI 請求被封鎖。 | ||
| 處理錯誤。 | ||
| 物件未處理。 | – | |
| 物件已加密。 | – | |
| 物件損壞。 | – | |
| 偵測到可被侵入者利用以破壞您的電腦或個人資料的合法軟體。 | – | |
| 物件掃描結果已傳送到協力廠商應用程式。 | – | |
| 物件已處理。 | – | |
| 物件被略過。 | – | |
| 偵測到封存。 | – | |
| 偵測到封包物件。 | – | |
| 偵測到受密碼防護的封存。 | – | |
| 有關偵測到的物件的資訊。 | – | |
| 物件在“私人KSN”允許清單中。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 禁止應用程式啟動。 | – | |
| 在啟動 Kaspersky Endpoint Security for Windows 之前啟動了被禁止的處理程序。 | – | |
| 工作設定錯誤。未套用工作設定。 | – | |
| 成功套用工作設定。 | – | |
| 允許應用程式啟動。 | – | |
| 在測試模式下禁止應用程式啟動。 | – | |
| 在測試模式下允許應用程式啟動。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 禁止操作裝置。 | – | |
| 網路連線被封鎖。 | – | |
| 臨時存取裝置已啟動。 | ||
| 允許操作裝置。 | – | |
| 執行檔案操作。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 存取被拒絕。 | – | |
| 警告不良內容。 | – | |
| 警告後存取了不良內容。 | – | |
| 允許存取。 | – | |
| 允許的頁面已開啟。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 處理程序操作被封鎖。 | ||
| 略過處理程序動作。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 套用檔案加密/解密規則時出錯。 | ||
| 檔案加密/解密錯誤。 | ||
| 檔案存取被封鎖。 | ||
| 啟用攜帶模式時出錯。 | ||
| 停用攜帶模式時出錯。 | ||
| 建立加密包時出錯。 | ||
| 加密/解密裝置時出錯。 | ||
| 加載加密模組失敗。 | ||
| 管理身分驗證代理帳戶的工作以錯誤結束。 | ||
| 政策不適用。 | ||
| FDE 升級失敗。 | ||
| “完整磁碟加密”升級回溯完成但出錯。 | ||
| 中斷套用檔案加密/解密規則。 | – | |
| 檔案加密/解密中斷。 | – | |
| 裝置加密/解密中斷。 | – | |
| 使用者已選擇退出加密政策。 | – | |
| 無法在 WinRE 映像中安裝或升級卡巴斯基磁碟加密驅動程式。 | ||
| 開始套用檔案加密/解密規則。 | – | |
| 完成套用檔案加密/解密規則。 | – | |
| 還原套用檔案加密/解密規則。 | – | |
| 檔案加密/解密已開始。 | – | |
| 檔案加密/解密完成。 | – | |
| 檔案未加密,因為它是排除項目。 | – | |
| 可攜式模式已啟用。 | – | |
| 可攜式模式已停用。 | – | |
| 裝置加密/解密已開始。 | – | |
| 裝置加密/解密完成。 | – | |
| 裝置加密/解密還原。 | – | |
| 加密模組已載入。 | – | |
| 裝置未加密。 | – | |
| 裝置加密/解密處理程序已切換到主動模式。 | – | |
| 磁碟機加密/解密處理程序已切換到被動模式。 | – | |
| 新的身分驗證代理帳戶已建立。 | – | |
| 身分驗證代理帳戶已刪除。 | – | |
| 身分驗證代理帳戶密碼已變更。 | – | |
| 身分驗證代理成功登錄。 | – | |
| 身分驗證代理登錄嘗試失敗。 | – | |
| 使用請求存取加密裝置的過程存取硬碟。 | – | |
| 使用請求存取加密裝置的過程嘗試存取硬碟失敗。 | – | |
| 帳戶未新增。此帳戶已經存在。 | – | |
| 帳戶未修改。此帳戶不存在。 | – | |
| 帳戶未刪除。此帳戶不存在。 | – | |
| FDE 升級成功。 | ||
| FDE 升級回溯成功。 | ||
| 無法從 WinRE 映像解除安裝卡巴斯基磁碟加密驅動程式。 | ||
| BitLocker 還原金鑰已變更。 | ||
| BitLocker 密碼/PIN 已變更。 | ||
| BitLocker 還原金鑰被儲存在卸除式磁碟機上。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| Kaspersky Anti Targeted Attack 平台伺服器不可用。 | – | |
| 應用程式啟動被封鎖。 | ||
| 文件開啟被封鎖。 | ||
| 從檔案映像或資料流啟動的所有處理程序均已終止。 | ||
| 應用程式已開始。 | ||
| 檔案或資料流被 Kaspersky Anti Targeted Attack Platform 伺服器管理員刪除。 | ||
| 檔案被管理員從 Kaspersky Anti Targeted Attack Platform 伺服器上的隔離區還原。 | ||
| 檔案被管理員在 Kaspersky Anti Targeted Attack Platform 伺服器上隔離。 | ||
| 所有協力廠商應用程式的网路活動均被封鎖。 | ||
| 被解除封鎖的網路流量。 | ||
| 來自 Kaspersky Anti Targeted Attack Platform 伺服器的工作正在處理中。 | – | |
| 來自 Kaspersky Anti Targeted Attack Platform 伺服器的工作處理未啟動。 | – | |
| 端點感應器已連線到伺服器。 | – | |
| 與 Kaspersky Anti Targeted Attack Platform 伺服器的連線已還原。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 偵測到惡意物件。 | ||
| 不可解毒。 | – | |
| 無法刪除。 | – | |
| 處理錯誤。 | – | |
| 處理程序已終止。 | – | |
| 無法終止處理程序。 | – | |
| 無法建立備份副本。 | – | |
| 物件未處理。 | – | |
| 物件已加密。 | – | |
| 物件損壞。 | – | |
| 物件將在重新啟動時將被刪除。 | – | |
| 物件將在重新啟動時將被解毒。 | – | |
| 偵測到可被侵入者利用以破壞您的電腦或個人資料的合法軟體。 | – | |
| 無法從備份還原物件。 | ||
| 物件已刪除。 | – | |
| 物件已解毒。 | – | |
| 回溯完成。 | – | |
| 物件已處理。 | – | |
| 已建立物件的備份副本。 | – | |
| 物件被略過。 | – | |
| 偵測到封存。 | – | |
| 偵測到封包物件。 | – | |
| 被先前已解毒的副本覆寫。 | – | |
| 有關偵測到的物件的資訊。 | – | |
| 偵測到受密碼防護的封存。 | – | |
| 物件被從備份還原。 | ||
| 物件已重命名。 | – | |
| 物件在“私人KSN”允許清單中。 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 系統模組簽章檢查失敗。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 更新元件時出錯。 | – | |
| 分發元件更新時出錯。 | – | |
| 本機更新錯誤。 | – | |
| 網路更新錯誤。 | – | |
| 無法同時啟動兩個工作。 | – | |
| 驗證應用程式資料庫和模組時出錯。 | – | |
| 與卡巴斯基安全管理中心交互時出錯。 | – | |
| 並非所有元件已更新。 | – | |
| 更新成功完成,更新分發失敗。 | – | |
| 發生了一個內部錯誤。 | ||
| 修補安裝失敗。 | – | |
| 修補回溯失敗。 | – | |
| 操作被使用者取消。 | – | |
| 更新來源已選中。 | – | |
| 代理伺服器已選中。 | – | |
| 檔案下載。 | – | |
| 檔案已下載。 | – | |
| 檔案已安裝。 | – | |
| 檔案已更新。 | – | |
| 由於更新錯誤,檔案已回溯。 | – | |
| 正在更新檔案。 | – | |
| 正在分發更新。 | – | |
| 正在回溯檔案。 | – | |
| 建立要下載的檔案清單。 | – | |
| 無可用更新。 | – | |
| 更新分發成功完成。 | – | |
| 下載修補。 | – | |
| 安裝修補。 | – | |
| 修補已安裝。 | – | |
| 回溯修補。 | – | |
| 修補已回溯。 | – |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 無法刪除。 | – | |
| 擦除工作統計。 | – | |
| 物件已刪除。 | – |
Endpoint Detection and Response
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 物件啟動被封鎖。 | ||
| 處理程序啟動被封鎖。 | ||
| 指令碼執行被封鎖。 | ||
| 物件未隔離 (Endpoint Detection and Response)。 | ||
| 發現 IOC。 | ||
| 允許物件啟動。事件已記錄。 | ||
| 允許處理程序啟動。事件已記錄。 | ||
| 允許指令碼執行。事件已記錄。 | ||
| 物件將在重新啟動後被刪除 (Endpoint Detection and Response)。 | ||
| 網路隔離 | ||
| 終止網路隔離 | ||
| 物件被隔離 (Endpoint Detection and Response) | ||
| 物件被刪除 (Endpoint Detection and Response) | ||
| IOC 掃描已啟動 | ||
| IOC 掃描已完成 |
事件代碼
事件 ID |
| 描述 | 預設啟用 |
---|---|---|---|
| 物件未隔離 (Kaspersky Sandbox)。 | ||
| 發生了一個內部錯誤。 | ||
| 向 Kaspersky Sandbox.提交掃描工作時出錯。 | ||
| 無效的 Kaspersky Sandbox 伺服器憑證。 | ||
| Kaspersky Sandbox 節點不可使用。 | ||
| 異步工作處理過程中偵測到威脅。 | ||
| 在 Kaspersky Sandbox 中處理物件失敗。 | ||
| 超過對 Kaspersky Sandbox 的最大負載。 | ||
| 發現 IOC。 | ||
| Kaspersky Sandbox 產品授權驗證失敗。 | ||
| 物件將在重新啟動後被刪除 (Kaspersky Sandbox)。 | ||
| 掃描工作的總容量已超過限制。 | ||
| 已建立物件的備份副本。 | – | |
| 物件已隔離 (Kaspersky Sandbox)。 | ||
| 物件已刪除 (Kaspersky Sandbox)。 | ||
| 已決定傳送掃描工作到 Kaspersky Sandbox。 | ||
| 本機快取已被清除。 | ||
| 掃描工作已傳送到 Kaspersky Sandbox。 | ||
| 異步工作處理中未發現威脅。 | ||
| IOC 掃描已啟動。 | ||
| IOC 掃描已完成。 | ||
| 異步物件處理過程中發現一個快取結果 |