管理プラグインから Windows イベントログ監視のルールを追加する

新しい Windows イベントログ監視のカスタムルールを追加および設定するには、次の処理を実行します：

1. Kaspersky Security Center の管理コンソールツリーで［管理対象デバイス］フォルダーを展開します。
2. アプリケーション設定を編集する管理グループを選択します。
3. 選択した管理グループの詳細ペインで、次のいずれかを実行します：
   • 保護対象デバイスグループに対してアプリケーションを設定するには、［ポリシー］タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
   • 個々の保護対象デバイスのタスクまたは本製品の設定を指定するには、［デバイス］タブを選択し、ローカルタスク設定またはアプリケーション設定に移動します。
4. ［システム監査］セクションで、［設定］サブセクションの［Windows イベントログ監視］をクリックします。

   ［Windows イベントログ監視］ウィンドウが開きます。

5. ［カスタムルール］タブで［Windows イベントログ監視にカスタムルールを適用する］をオンまたはオフにします。
   

   チェックボックスをオンにすると、ルール設定に従って Windows イベントログ監視にカスタムルールが適用されます。Windows イベントログ監視ルールは追加、削除、設定ができます。

   チェックボックスをオフにすると、カスタムルールを追加または修正できません。Kaspersky Embedded Systems Security for Windows では既定のルール設定が適用されます。

   既定では、このチェックボックスはオフです。ポップアップ検出ルールのみがアクティブです。

   事前設定ルールを Windows イベントログ監視のルールに適用するかどうかをコントロールできます。Windows イベントログ監視に適用するルールに該当するチェックボックスをオンにします。

6. 新しいカスタムルールを追加するには［追加］をクリックします。

   ［Windows イベントログ監視のカスタムルール］ウィンドウが開きます。

7. ［全般］セクションで新しいルールに関する次の情報を指定します：
   • ルール名
   • 指定した識別子（ID）がイベントパラメータで見つかった場合、Windows イベントログに新しい項目が表示されるとこのルールが起動されます
     

     分析のためにイベントのソースとして使用するログを選択します。次の Windows イベントログが利用できます：アプリケーション、セキュリティ、システム。

     ［指定した識別子（ID）がイベントパラメータで見つかった場合、Windows イベントログに新しい項目が表示されるとこのルールが起動されます］にログ名を入力することによって、新しいカスタムログを追加できます。

8. ［ルール有効化の条件］セクションで、ルールを有効化するイベント ID を指定します：
   1. ID を入力します。
   2. ［追加］をクリックします。

      入力したイベント ID がリストに追加されます。各ルールに対して個数の制限なく ID を追加できます。

9. ［OK］をクリックします。

   Windows イベントログ監視ルールがルールのリストに追加されます。