設定工作記錄設定

要設定 Kaspersky Embedded Systems Security for Windows 記錄，請執行下列步驟：

1. 展開卡巴斯基安全管理中心管理主控台樹狀目錄中的“受管理裝置”節點。
2. 選擇要為其配置應用程式設定的管理群組。
3. 在選定的管理群組的詳情視窗中執行以下之一操作：
   • 要為一組受防護裝置進行記錄設定，請選擇政策標籤，然後開啟內容：<政策名稱>視窗。
   • 要為個別受防護裝置設定應用程式，請選擇裝置標籤，然後前往應用程式設定。
4. 在“記錄和通知”部分中，點擊“設定”子區段中的“工作記錄”按鈕。
5. 將在記錄標籤上開啟記錄設定視窗。
6. 設定記錄中的事件詳細等級：
   1. 在“元件”清單中，選擇您要設定其詳細等級的 Kaspersky Embedded Systems Security for Windows 元件。
   2. 在“重要性等級”清單中，選擇事件在工作記錄、系統稽核記錄和選定元件的事件記錄中的詳細等級。

      在包含事件清單的下表中，使用工作記錄、系統稽核記錄和事件記錄，根據目前詳細等級記錄的事件選取旁邊的核取方塊。

   3. 如果您想手動為所選的元件或工作啟用記錄特定事件：
      1. 在“重要性等級”清單中選擇“自訂”。
      2. 在包含事件清單的表格中，選定您想要記錄到工作記錄、系統稽核記錄和事件記錄中事件旁邊的核取方塊。
7. 在記錄儲存區塊中，設定記錄儲存設定：
   • 記錄資料夾
     

     採用 UNC（通用命名慣例）格式的記錄資料夾路徑。

     預設路徑：C:\ProgramData\Kaspersky Lab\Kaspersky Embedded Systems Security\3.3\Reports\。

     如果變更預設路徑，將建立一個具有相應名稱的資料夾。新記錄將儲存在新資料夾中。舊記錄將保留。

   • 刪除早於該天數的工作記錄
     

     該核取方塊用於啟用/停用一項功能，即在指定時段後刪除部分日誌（日誌中包含已完成任務的結果）和事件（發佈在執行任務日誌中的事件）（預設值：30 天）。

     如果所選該核取方塊，Kaspersky Embedded Systems Security for Windows 會在指定的時間後刪除區段記錄（記錄中包含已完成工作的結果）和事件（發佈在執行工作的記錄中的事件）。

     預設將會選定該核取方塊。

   • 刪除早於該天數的系統稽核記錄事件(天)
     

     該核取方塊用於啟用/停用一項功能，即在指定時段後刪除系統稽核日誌中的日誌事件（預設值：60 天）。

     如果選取該核取方塊，Kaspersky Embedded Systems Security for Windows 會在指定的時間段後刪除系統稽核記錄中記錄的事件。

     預設情況下，會取消勾選核取方塊。

8. 在“SIEM 整合”標籤上，配置用於將審核事件和工作執行事件發佈到 syslog 伺服器的設定。
9. 點擊“確定”按鈕。

已儲存配置的記錄設定。