Содержание

Kaspersky windows event log
Kaspersky windows event log
Kaspersky windows event log
Kaspersky windows event log
Kaspersky windows event log

Kaspersky windows event log

Kaspersky Security records its operation details (such as error messages or warnings) to Windows Event Log and Kaspersky Security event logs.

About Windows Event Log

Windows Event Log contains the details of the Kaspersky Security operation that the Kaspersky Security administrator or the security officer can use to monitor the application operation.

Events related to the Kaspersky Security operation are recorded to Windows Event Log by KSCM8 (Kaspersky Security service). Each basic events related to the application operation has a respective fixed event code. You can use an event code to find and filter events in a log.

About event logs in Kaspersky Security

Kaspersky Security event logs are files in TXT format that are stored locally in the folder \logs . You can specify a different folder to store logs.

The detail level of application event logs depends on the current settings of log detail level.

Kaspersky Security maintains event logs according to the following algorithm:

The application records information to the end of the most recent log.
When the log’s size reaches 100 MB, the application archives it and creates a new one.
By default, the application stores log files for 14 days since the last modification, and then deletes them. You can set a different term for log storage.

Separate logs are created individually for each Security Server irrespectively of the application deployment variant.

Kaspersky windows event log

Данные о событиях хранятся в файле %SystemRoot%\System32\Winevt\Logs\Kaspersky-Security-Soyuz%4Product.evtx в открытом незашифрованном виде. Данные хранятся до деинсталляции Kaspersky Endpoint Agent.

Эти данные могут передаваться в Kaspersky Security Center в автоматическом режиме и не передаются в Kaspersky Sandbox.

По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные о событиях могут содержать следующую информацию:

О пользовательских сессиях в операционной системе.
Об учетных записях пользователей операционной системы.
Об ошибках выполнения задач на проверку объектов.
О задачах на проверку объектов.
Об обнаружениях.
Об IOC-файлах, сформированных при автоматическом реагировании.
О результатах проверки объектов.
О сертификатах серверов Kaspersky Sandbox.
Об очереди объектов на проверку.
Об изменении параметров Kaspersky Endpoint Agent.
Об изменении политик KSC.
Об изменении статуса задачи на проверку.
О политиках KSC.
Об объектах на карантине.
О действиях по автоматическому реагированию на обнаруженные угрозы.
Об ошибках взаимодействия с сервером программы, входящим в кластер.

В начало

Kaspersky windows event log

Запись событий в журнал доступна только для операций с файлами на съемных дисках.

Чтобы включить или выключить запись событий в журнал, выполните следующие действия:

Откройте окно настройки параметров программы.
В левой части окна в разделе Контроль безопасности выберите подраздел Контроль устройств .

В правой части окна отобразятся параметры компонента Контроль устройств.

В правой части окна выберите закладку Типы устройств .

На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

Выберите в таблице устройств Съемные диски .

В верхней части таблицы станет доступной кнопка Запись событий в журнал .

Нажмите на кнопку Запись событий в журнал .

Откроется окно Параметры записи событий в журнал .

Выполните одно из следующих действий:

Если вы хотите включить запись событий об операциях записи и удаления файлов на съемных дисках, установить флажок Включить запись событий в журнал .

Kaspersky Endpoint Security будет сохранять событие в файл журнала и отправлять сообщение на Сервер администрирования Kaspersky Security Center, когда пользователь совершает операции записи или удаления с файлами на съемных дисках.

В противном случае снимите флажок Включить запись событий в журнал .

Укажите, информация о каких операциях должна записываться в журнал. Для этого выполните одно из следующих действий:

Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал все события, установите флажок Сохранять информацию обо всех файлах .
Если вы хотите, чтобы Kaspersky Endpoint Security записывал в журнал только информацию о файлах определенного формата, в блоке Фильтр по форматам файлов установите флажки напротив нужных форматов файлов.

Укажите, о действиях каких пользователей Kaspersky Endpoint Security будет формировать события журнала. Для этого выполните следующие действия:

В блоке Пользователи нажмите на кнопку Выбрать .
Откроется стандартное окно Microsoft Windows Выбор пользователей или групп .
Задайте или измените список пользователей и / или групп пользователей.

Когда пользователи, указанные в блоке Пользователи , будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять сообщение на Сервер администрирования Kaspersky Security Center.

Нажмите на кнопку ОК в окне Параметры записи событий в журнал .

Нажмите на кнопку Сохранить , чтобы сохранить внесенные изменения.

Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События . Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

Kaspersky windows event log

Данные о событиях Журнала событий Windows хранятся в файле %SystemRoot%\System32\Winevt\Logs\Kaspersky-Security-Soyuz%4Product.evtx в открытом незашифрованном виде. Данные хранятся до удаления Kaspersky Endpoint Agent.

Эти данные могут автоматически передаваться в Kaspersky Security Center, но не передаются в Kaspersky Sandbox.

По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к этой папке и ее файлам. Доступ определяет системный администратор.

Данные о событиях могут содержать следующую информацию:

О пользовательских сессиях в операционной системе.
Об учетных записях пользователей операционной системы (userID).
Об ошибках выполнения задач проверки объектов.
О задачах на проверку объектов.
Об обнаружениях Kaspersky Sandbox.
О событиях Kaspersky Sandbox.
Об IOC-файлах Kaspersky Endpoint Agent, сформированных при автоматическом реагировании.
О результатах проверки объектов.
О сертификатах серверов Kaspersky Sandbox.
Об очереди объектов на проверку.
Об изменении параметров Kaspersky Endpoint Agent.
Об изменении политик Kaspersky Security Center.
Об изменении статуса задачи на проверку объектов.
О политиках Kaspersky Security Center.
Об объектах на карантине.
О действиях по автоматическому реагированию на обнаруженные угрозы.
Об ошибках взаимодействия с серверами программы.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Kaspersky windows event log

В этом разделе собрана информация о базовых событиях в работе программы, которые записываются в журнал событий Windows. События, связанные с работой Kaspersky Security, регистрируются в журнале событий Windows от имени источника KSE. Такие события имеют фиксированный код события. События в таблице отсортированы по возрастанию кода события.

Базовые события в работе программы

Уровень важности события

Событие записывается, если программа обнаруживает, что базы Антивируса устарели более чем на сутки. В записи о событии указывается тип баз и дата выпуска баз.

Событие записывается, если программа обнаруживает, что базы Анти-Спама устарели более чем на пять часов. В записи о событии указывается тип баз и дата выпуска баз.

Событие записывается, если программа обнаруживает зараженный или защищенный объект, либо файл вложения, который соответствует критериям фильтрации вложений, а также в рабочей области узла Уведомления установлен флажок Записывать события в журнал Windows для соответствующих типов уведомлений.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления , настроен параметр Уведомить заранее об истечении срока действия лицензии (дни) и срок действия лицензии скоро истечет. В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до окончания этого срока.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и срок действия лицензии истек. В записи о событии указывается ключ и дата окончания срока действия лицензии.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и активный ключ не обнаружен.

Событие записывается, если базы программы были обновлены до последней версии. В записи о событии указывается тип баз и дата выпуска баз.

Событие записывается, если программа зафиксировала ошибки в работе компонента. В записи о событии указывается название компонента и описание ошибки.

Событие записывается, если программа зафиксировала выключение компонента. В записи о событии указывается название компонента.

Событие записывается, если программа зафиксировала включение компонента. В записи о событии указывается название компонента.

Событие записывается, если произошла ошибка на SQL-сервере и база данных перестала быть доступна. В записи о событии указывается имя базы данных, имя SQL-сервера и описание ошибки.

Событие записывается, если доступ к базе данных на SQL-сервере восстановлен и ошибки в работе устранены. В записи о событии указывается имя базы данных и имя SQL-сервера.

Событие записывается, если пользователь запросил запуск фоновой проверки. В записи о событии указывается учетная запись пользователя.

Событие записывается, если пользователь запросил остановку фоновой проверки. В записи о событии указывается учетная запись пользователя.

Событие записывается, если фоновая проверка была запущена вручную или автоматически по расписанию. В записи о событии указывается тип запуска.

Событие записывается, если фоновая проверка была остановлена. В записи о событии указывается причина остановки проверки.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и программе не удалось обновить статус лицензии. В записи о событии указывается ключ, дата окончания срока действия лицензии и количество дней, оставшихся до перехода в режим ограниченной функциональности.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления , программе не удалось обновить статус лицензии и срок обновления лицензии истек. В записи о событии указывается описание причины возникновения ошибки.

Событие записывается, если в узле Уведомления для события Спам и фишинг в блоке Параметры уведомлений установлен флажок Спам и программа обнаружила сообщение, содержащее спам или возможный спам. В записи о событии указывается информация о сообщении.

Событие записывается, если в узле Уведомления для события Спам и фишинг в блоке Параметры уведомлений установлен флажок Массовая рассылка и программа обнаружила сообщение, содержащее массовую рассылку. В записи о событии указывается информация о сообщении.

Событие записывается, если в узле Уведомления для события Спам и фишинг в блоке Параметры уведомлений установлен флажок Фишинг и программа обнаружила сообщение, содержащее фишинговую ссылку. В записи о событии указывается информация о сообщении.

Событие записывается, если в узле Уведомления для события Фильтрация однотипных сообщений в блоке Параметры уведомлений установлен флажок Записывать события в журнал Windows и программа обнаружила превышение ограничения по количеству сообщений, отправленных с внутреннего адреса электронной почты. В записи о событии указывается информация о последнем отфильтрованном сообщении.

Событие записывается, если Консоль управления была запущена. В записи о событии указывается учетная запись пользователя, запустившего Консоль управления.

Событие записывается, если Консоль управления была закрыта. В записи о событии указывается учетная запись пользователя, закрывшего Консоль управления.

Событие записывается, если компонент программы перешел в режим ограниченной проверки. В записи о событии указывается название компонента и время его перехода в режим ограниченной проверки.

Событие записывается, если использование KSN ограничено. В записи о событии указывается об использовании KSN в ограниченном режиме.

Событие записывается, если использование KSN не ограничено. В записи о событии указывается об использовании KSN без ограничений.

Событие записывается, если регион работы KSN был изменен. В записи о событии указываются наименования предыдущего и текущего регионов работы KSN.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и при автоматическом обновлении статуса лицензии возникла ошибка. В записи о событии указывается описание причины возникновения ошибки.

Событие записывается, если параметры программы были изменены. В записи о событии указывается учетная запись пользователя, изменившего параметры, область изменений (например, Anti-Spam), значение измененного параметра.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и статус ключа, дата окончания срока действия лицензии, количество пользователей или тип лицензии изменились. В записи о событии указывается ключ, тип лицензии, дата окончания срока действия лицензии и количество пользователей лицензии.

Событие записывается, если установлен флажок Записывать события в журналы Windows и Kaspersky Security Center в узле Уведомления и пользователь выполнил действия с ключом Сервера безопасности. В записи о событии указывается учетная запись пользователя.

Событие записывается, если удален объект из резервного хранилища. В записи о событии указывается подробная информация об объекте и учетная запись пользователя, если объект был удален пользователем. Программа удаляет объект в соответствии с настройками параметров резервного хранилища.

Событие записывается, если пользователь отправил возможно зараженный объект из резервного хранилища на исследование в «Лабораторию Касперского». В записи о событии указывается учетная запись пользователя и подробная информация об объекте.

Событие записывается, если пользователь отправил объект из резервного хранилища исходным получателям. В записи о событии указывается учетная запись пользователя и подробная информация об объекте.

Событие записывается, если пользователь отправил объект, ложно идентифицированный программой как спам, из резервного хранилища на исследование в «Лабораторию Касперского». В записи о событии указывается учетная запись пользователя и подробная информация об объекте.

Событие записывается, если пользователь сохранил на диск объект из резервного хранилища. В записи о событии указывается учетная запись пользователя и подробная информация об объекте.

Событие записывается, если пользователь отправил объект из резервного хранилища на адреса электронной почты, указанные вручную. В записи о событии указывается учетная запись пользователя и подробная информация об объекте.

Событие записывается, если базы программы не удалось обновить. В записи о событии указывается тип баз и описание ошибки.

Событие записывается, если ошибка обновления баз программы устранена и базы обновлены успешно. В записи о событии указывается тип баз и дата выпуска баз.

Событие записывается, если программа обнаружила исходящее сообщение электронной почты, содержащее спам или фишинг. В записи о событии содержатся сведения о сообщении.