目录
关于 Kaspersky Security Center 云控制台中的事件
Kaspersky Security Center 云控制台允许您接收受管理设备上安装的管理服务器和 Kaspersky 应用程序在操作期间发生的事件信息。事件信息保存在管理服务器数据库。您可以导出这些信息到外部 SIEM 系统。导出事件信息到外部 SIEM 系统使 SIEM 系统管理员可以快速响应发生在受管理设备或设备组上的安全系统事件。
按类型划分的事件
Kaspersky Security Center 云控制台中有以下类型的事件:
- 常规事件。这些事件发生在所有受管理 Kaspersky 应用程序中。常规事件的一个示例是病毒爆发常规事件具有严格定义的语法和语义。常规事件用于报告和仪表板等方面。
- 受管理 Kaspersky 应用程序特定事件。每个受管理 Kaspersky 应用程序都拥有自己的事件集。
按来源划分的事件
您可以在应用程序策略的“事件配置”选项卡上查看应用程序可以生成的事件的完整列表。对于管理服务器,您还可以在管理服务器属性中查看事件列表。
以下应用程序可以生成事件:
按重要性级别划分的事件
每个事件都有自己的重要级别。取决于发生的条件,一个事件可以被分配不同的重要级别。四个事件重要级别如下:
- 严重事件指示发生了可能导致数据丢失、操作系统异常或严重错误的严重问题。
- 功能失败指示在应用程序操作中或执行过程中发生了严重问题、错误或功能异常。
- 警告是不严重的事件,但是也指示了今后可能发生的潜在问题。如果在事件发生后应用程序可以被恢复而不丢失数据或功能,则这些事件是警告级别。
- 信息事件用于提示成功完成操作、应用程序的正常功能或完成了某过程。
每个事件都有一个存储期限,在这时间内您可以在 Kaspersky Security Center 云控制台中查看或修改。一些事件默认下不保存在管理服务器数据库,因为它们的存储期限是零。仅可以在管理服务器数据库中保存至少一天的事件可以被导出到外部系统。
Kaspersky Security Center 云控制台组件事件
每个 Kaspersky Security Center 云控制台组件都拥有自己的事件类型集。本节列出了 Kaspersky Security Center 云控制台管理服务器和网络代理中发生的事件类型。Kaspersky 应用程序中发生的事件类型不在此区域列出。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
事件类型描述的数据结构
对于每个事件类型,它的显示名称、ID、字母码、描述和默认存储期限被提供。
- 事件类型显示名称。该文本当您配置事件时和它们发生时被显示在 Kaspersky Security Center 云控制台中。
- 事件类型 ID。该数码在您使用第三方工具分析事件时使用。
- 事件类型(字母码)。当您使用 Kaspersky Security Center 云控制台数据库中提供的公共视图浏览和处理事件时,将使用此代码。
- 描述。该文本包含事件发生的情况以及此种情况下您可以做的事。
- 默认存储期限。这是事件存储在管理服务器数据库的天数,显示在管理服务器事件列表中。该时间段之后,事件被删除。如果事件存储期限值是 0,此类事件被检测但不显示在管理服务器事件列表。
管理服务器严重事件
该表显示具有“严重”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
管理服务器严重事件
事件类型显示名称 |
事件类型 ID |
事件类型 |
描述 |
默认存储期限 |
|---|---|---|---|---|
已超过授权许可数量限制 |
4099 |
KLSRV_EV_LICENSE_CHECK_MORE_110 |
每天一次,Kaspersky Security Center 云控制台检查是否超过授权许可限制。 当管理服务器发现安装在客户端设备上的 Kaspersky 应用程序超过了授权许可限制,以及由单一授权许可覆盖的当前使用的授权许可单元数量超过了该授权许可覆盖的单元总数的 110%,则该类型的事件发生。 即便当该事件发生时,客户端设备是被保护的。 您可以通过以下方式响应事件:
Kaspersky Security Center 云控制台决定当超过授权许可限制时生成事件的规则。 |
180 天 |
病毒爆发 |
26 (对于文件威胁防护) |
GNRL_EV_VIRUS_OUTBREAK |
当短时间内在若干受管理设备上检测到的恶意对象数量超过阈值时,该类型的事件发生。 您可以通过以下方式响应事件:
|
180 天 |
病毒爆发 |
27 (对于邮件威胁防护) |
GNRL_EV_VIRUS_OUTBREAK |
当短时间内在若干受管理设备上检测到的恶意对象数量超过阈值时,该类型的事件发生。 您可以通过以下方式响应事件:
|
180 天 |
病毒爆发 |
28 (对于防火墙) |
GNRL_EV_VIRUS_OUTBREAK |
当短时间内在若干受管理设备上检测到的恶意对象数量超过阈值时,该类型的事件发生。 您可以通过以下方式响应事件:
|
180 天 |
设备已失去管理 |
4111 |
KLSRV_HOST_OUT_CONTROL |
如果受管理设备在网络中可见,但指定时间未连接到管理服务器,则该类型的事件发生。 找到什么阻止了设备上网络代理的正常功能。可能的原因包括网络问题和从设备卸载网络代理。 |
180 天 |
设备状态是“严重” |
4113 |
KLSRV_HOST_STATUS_CRITICAL |
当受管理设备被分配严重状态时,该类型的事件发生。您可以配置设备状态被更改到严重的条件。 |
180 天 |
受限制功能模式 |
4130 |
KLSRV_EV_LICENSE_SRV_LIMITED_MODE |
当 Kaspersky Security Center 云控制台开始用基本功能操作,没有“漏洞和补丁管理”和“移动设备管理”功能时,该类型的事件发生。 以下是事件发生的原因和正确响应:
|
180 天 |
授权许可即将过期 |
4129 |
KLSRV_EV_LICENSE_SRV_EXPIRE_SOON |
当商业授权许可的失效日期即将到来时,会发生此类事件。 Kaspersky Security Center 每天检查一次授权许可到期日期是否临近。此类型的事件在授权许可到期之前 30 天、15 天、5 天 和 1 天发布。该天数无法被更改。如果管理服务器在授权许可到期日之前的指定日期被关闭,则事件直到第二天才发布。 当商业授权许可到期时,Kaspersky Security Center 云控制台仅提供基本功能。 您可以通过以下方式响应事件: |
180 天 |
MDM 证书已过期 |
4132 |
KLSRV_CERTIFICATE_EXPIRED |
当移动设备管理的管理服务器证书过期时,会发生此类事件。 您需要更新过期的证书。 |
180 天 |
卡巴斯基应用程序模块更新已撤销 |
4142 |
KLSRV_SEAMLESS_UPDATE_REVOKED |
如果无缝更新被 Kaspersky 技术专家撤销(这些更新显示“已撤销”状态),例如它们必须更新到新版本,则会发生该类型事件。该事件涉及 Kaspersky Security Center 云控制台补丁,但不涉及受管理 Kaspersky 应用程序的模块。事件提供无缝更新未被安装的原因。 |
180 天 |
审计:导出到 SIEM 失败 |
5130 |
KLAUD_EV_SIEM_EXPORT_ERROR |
当由于与 SIEM 系统的连接错误而将事件导出到 SIEM 系统失败时,会发生此类事件。 |
180 天 |
管理服务器功能失败事件
该表显示具有“功能失败”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
管理服务器功能失败事件
事件类型显示名称 |
事件类型 ID |
事件类型 |
描述 |
默认存储期限 |
|---|---|---|---|---|
已授权应用程序组之一的安装已超过限制 |
4126 |
KLSRV_INVLICPROD_EXCEDED |
管理服务器定期生成该类型的事件(每小时)。如果您在 Kaspersky Security Center 云控制台中管理第三方应用程序的授权许可密钥,并且安装数量超过了第三方应用程序授权许可密钥所设置的限制,则会发生该类型事件。 您可以通过以下方式响应事件:
您可以使用已授权应用程序组的功能管理第三方应用程序的授权许可密钥。这是一组由满足您所设标准的第三方应用程序组成的授权应用程序群组。 |
180 天 |
轮询云段失败 |
4143 |
KLSRV_KLCLOUD_SCAN_ERROR |
当管理服务器无法在云环境中轮询网段时,将发生此类事件。读取事件描述中的详细信息,并相应做出响应。 |
未存储 |
管理服务器警告事件
该表显示具有“警告”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
管理服务器警告事件
事件类型显示名称 |
事件类型 ID |
事件类型 |
描述 |
默认存储期限 |
|---|---|---|---|---|
已超过授权许可数量限制 |
4098 |
KLSRV_EV_LICENSE_CHECK_100_110 |
每天一次,Kaspersky Security Center 云控制台检查是否超过授权许可限制。 当管理服务器发现安装在客户端设备上的 Kaspersky 应用程序超过了授权许可限制,以及由单一授权许可覆盖的当前使用的授权许可单元数量达到了该授权许可覆盖的单元总数的 100% 到 110%,则该类型的事件发生。 即便当该事件发生时,客户端设备是被保护的。 您可以通过以下方式响应事件:
Kaspersky Security Center 云控制台决定当超过授权许可限制时生成事件的规则。 |
90 天 |
设备在网络上已长时间没有活动 |
4103 |
KLSRV_EVENT_HOSTS_NOT_VISIBLE |
当受管理设备在一段时间内显示出不活动状态时,会发生此类事件。 这种情况通常发生在受管理设备已解除授权时。 您可以通过以下方式响应事件:
|
90 天 |
设备名称冲突 |
4102 |
KLSRV_EVENT_HOSTS_CONFLICT |
当管理服务器将两台或更多受管理设备视为单台设备时,会发生此类事件。 虽然Kaspersky Security Center 云控制台中不支持克隆,如果您使用第三方工具进行克隆,该事件可能发生。为了避免此事件,当复制安装了网络代理的设备的镜像时,您必须满足以下建议:
klmover 实用程序包含在网络代理安装包中。 如果捕获没有安装网络代理的设备的镜像,请在目标设备上进行镜像部署,然后部署网络代理。您必须使用设备的独立安装包提供对网络文件夹的访问权限。 |
90 天 |
设备状态是“警告” |
4114 |
KLSRV_HOST_STATUS_WARNING |
当受管理设备被分配警告状态时,该类型的事件发生。您可以配置设备状态被更改到警告的条件。 |
90 天 |
已授权应用程序组之一的安装即将达到限制 |
4127 |
KLSRV_INVLICPROD_FILLED |
当已授权应用程序组中包含的第三方应用程序安装数量达到授权许可密钥属性中指定的最大允许值的 90% 时,将发生此类事件。 您可以通过以下方式响应事件:
您可以使用已授权应用程序组的功能管理第三方应用程序的授权许可密钥。 |
90 天 |
证书已被请求 |
4133 |
KLSRV_CERTIFICATE_REQUESTED |
当自动重新颁发移动设备管理证书失败时,将发生此类事件。 以下是事件的可能原因和对事件的适当响应:
|
90 天 |
证书已删除 |
4134 |
KLSRV_CERTIFICATE_REMOVED |
当管理员删除了移动设备管理的任何类型的证书(通用、邮件、VPN)时,会发生此类事件。 删除证书后,通过此证书连接的移动设备将无法连接到管理服务器。 在调查与移动设备管理相关的故障时,此事件可能会有所帮助。 |
90 天 |
APNs 证书已过期 |
4135 |
KLSRV_APN_CERTIFICATE_EXPIRED |
当 APNs 证书过期时,会发生此类事件。 您需要手动续订 APNs 证书并将其安装在 iOS MDM 服务器上。 |
90 天 |
APNs 证书即将过期 |
4136 |
KLSRV_APN_CERTIFICATE_EXPIRES_SOON |
当 APNs 证书距离过期不到 14 天时,会发生此类事件。 当 APNs 证书过期时,您需要手动续订 APNs 证书并将其安装在 iOS MDM 服务器上。 我们建议您在过期日期前安排 APNs 证书续订。 |
90 天 |
发送 FCM 消息到移动设备失败 |
4138 |
KLSRV_GCM_DEVICE_ERROR |
当移动设备管理配置为使用 Google Firebase Messaging (FCM) 连接到具有 Android 操作系统的受管理移动设备,并且 FCM 服务器无法处理从管理服务器收到的某些请求时,会发生此类事件。这意味着某些受管理移动设备不会收到推送通知。 读取事件描述详细信息中的 HTTP 代码,并相应做出响应。有关从 FCM 服务器收到的 HTTP 代码以及相关错误的更多信息,请参阅 Google Firebase 服务文档(参见“下游消息错误响应代码”一章)。 |
90 天 |
发送 FCM 消息到 FCM 服务器时发生 HTTP 错误 |
4139 |
KLSRV_GCM_HTTP_ERROR |
当移动设备管理配置为使用 Google Firebase Messaging (FCM) 连接到具有 Android 操作系统的受管理移动设备,并且 FCM 服务器回复管理服务器请求的 HTTP 代码不是 200(正常)时,会发生此类事件。 以下是事件的可能原因和对事件的适当响应:
|
90 天 |
发送 FCM 消息到 FCM 服务器失败 |
4140 |
KLSRV_GCM_GENERAL_ERROR |
使用 Google Firebase Cloud Messaging HTTP 协议时,由于管理服务器端发生意外错误,而发生此类事件。 读取事件描述中的详细信息,并相应做出响应。 如果您自己找不到问题的解决方案,建议与 Kaspersky 技术支持联系。 |
90 天 |
到从属管理服务器的连接已中断 |
4116 |
KLSRV_EV_SLAVE_SRV_DISCONNECTED |
当与从属管理服务器的连接中断时,会发生此类事件。 读取安装了从属管理服务器的设备上的操作系统日志,并相应做出响应。 |
90 天 |
到主管理服务器的连接已中断 |
4118 |
KLSRV_EV_MASTER_SRV_DISCONNECTED |
当与主管理服务器的连接中断时,会发生此类事件。 读取安装了主管理服务器的设备上的操作系统日志,并相应做出响应。 |
90 天 |
审计:到 SIEM 服务器的连接测试失败 |
5120 |
KLAUD_EV_SIEM_TEST_FAILED |
当 SIEM 服务器的自动连接测试失败时,会发生此类事件。 |
90 天 |
管理服务器信息事件
该表显示具有“信息”重要性级别的 Kaspersky Security Center 云控制台管理服务器事件。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。对于管理服务器,您还可以在管理服务器属性中查看和配置事件列表。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
管理服务器信息事件
事件类型显示名称 |
事件类型 ID |
事件类型 |
描述 |
默认存储期限 |
|---|---|---|---|---|
授权许可密钥的 90% 已经使用 |
4097 |
KLSRV_EV_LICENSE_CHECK_90 |
当管理服务器检测到安装在客户端设备上的 Kaspersky 应用程序快超过授权许可限制,以及由单一授权许可覆盖的当前使用的授权许可单元数量构成该授权许可覆盖的单元总数的 90%,则该类型的事件发生。 即使超出许可限制,客户端设备仍受到保护。 您可以通过以下方式响应事件:
Kaspersky Security Center 云控制台决定当超过授权许可限制时生成事件的规则。 |
30 天 |
已检测到新设备 |
4100 |
KLSRV_EVENT_HOSTS_NEW_DETECTED |
当发现新的联网设备时,就会发生此类事件。 |
30 天 |
设备已被根据规则自动移动 |
4101 |
KLSRV_EVENT_HOSTS_NEW_REDIRECTED |
当设备根据设备移动规则被分配到某个组时,会发生此类事件。 |
30 天 |
设备已从组中删除:长时间在网络中不活动 |
4104 |
KLSRV_INVISIBLE_HOSTS_REMOVED |
当设备因处于非活动状态而被自动从组中删除时,会发生此类事件。 |
30 天 |
已授权应用程序组之一的安装即将超过限制(已经使用 95% 以上) |
4128 |
KLSRV_INVLICPROD_EXPIRED_SOON |
当已授权应用程序组中包含的第三方应用程序安装数量达到授权许可密钥属性中指定的最大允许值的 90% 时,将发生此类事件。 您可以通过以下方式响应事件:
您可以使用已授权应用程序组的功能管理第三方应用程序的授权许可密钥。 |
30 天 |
找到了要发送至卡巴斯基以分析的文件 |
4131 |
KLSRV_APS_FILE_APPEARED |
|
30 天 |
此移动设备上的 FCM 实例 ID 已被更改 |
4137 |
KLSRV_GCM_DEVICE_REGID_CHANGED |
当设备上的 Firebase Cloud Messaging 令牌发生变化时,会发生此类事件。 有关 FCM 令牌轮换的信息,请参阅 Firebase 服务文档。 |
30 天 |
更新已被成功复制到指定文件夹 |
4122 |
KLSRV_UPD_REPL_OK |
当“将更新下载至管理服务器存储库”任务完成将文件复制到指定文件夹时,会发生此类事件。 |
30 天 |
到从属管理服务器的连接已建立 |
4115 |
KLSRV_EV_SLAVE_SRV_CONNECTED |
有关详细信息,请参阅以下主题:创建管理服务器层级:添加从属管理服务器。 |
30 天 |
到主管理服务器的连接已建立 |
4117 |
KLSRV_EV_MASTER_SRV_CONNECTED |
|
30 天 |
数据库已更新 (在 Kaspersky Security Center 云控制台中,此事件类型仅适用于从属管理服务器。) |
4144 |
KLSRV_UPD_BASES_UPDATED |
当“将更新下载至管理服务器存储库”任务完成数据库更新时,会发生此类事件。 |
30 天 |
KSN 代理已启动。KSN 可用性检查已成功完成 |
7718 |
KSNPROXY_STARTED_CON_CHK_OK |
|
30 天 |
KSN 代理已停止 |
7720 |
KSNPROXY_STOPPED |
|
30 天 |
审计:到管理服务器的连接已建立 |
4147 |
KLAUD_EV_SERVERCONNECT |
|
30 天 |
审计:对象已修改 |
4148 |
KLAUD_EV_OBJECTMODIFY |
该事件追踪以下对象中的更改:
|
30 天 |
审计:对象状态已更改 |
4150 |
KLAUD_EV_TASK_STATE_CHANGED |
例如,当任务以错误失败时会发生该事件。 |
30 天 |
审计:组设置已修改 |
4149 |
KLAUD_EV_ADMGROUP_CHANGED |
当安全组已被编辑时,会发生此类事件。 |
30 天 |
审计:已从管理服务器导入或导出加密密钥 |
5100 |
KLAUD_EV_DPEKEYSEXPORT |
|
30 天 |
审计:到 SIEM 服务器的连接测试成功 |
5110 |
KLAUD_EV_SIEM_TEST_SUCCESS |
|
30 天 |
网络代理功能失败事件
下表显示具有“功能失败”严重级别的 Kaspersky Security Center 网络代理事件。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
网络代理功能失败事件
事件类型显示名称 |
事件类型 ID |
事件类型 |
描述 |
默认存储期限 |
|---|---|---|---|---|
更新安装错误 |
7702 |
KLNAG_EV_PATCH_INSTALL_ERROR |
如果Kaspersky Security Center 云控制台组件自动更新和补丁未成功,则该类型的事件发生。事件不包含受管理 Kaspersky 应用程序的更新。 阅读事件描述。管理服务器上的 Windows 问题可能是该事件的原因。如果描述提到 Windows 配置的任何问题,解决该问题。 |
30 天 |
安装第三方软件更新失败 |
7697 |
KLNAG_EV_3P_PATCH_INSTALL_ERROR |
如果“漏洞和补丁管理”和“移动设备管理”功能正在使用且第三方软件更新未成功,则该类型的事件发生。 检查到第三方软件的链接是否合法。阅读事件描述。 |
30 天 |
安装 Windows Update 更新失败 |
7717 |
KLNAG_EV_WUA_INSTALL_ERROR |
如果 Windows 更新未成功,则该类型的事件发生。在网络代理策略中配置 Windows 更新。 阅读事件描述。在 Microsoft 知识库中查找错误。如果您无法自己解决问题,请联系 Microsoft 技术支持。 |
30 天 |
网络代理警告事件
下表显示具有“警告”严重级别的 Kaspersky Security Center 网络代理事件。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
网络代理警告事件
事件类型显示名称 |
事件类型 ID |
事件类型 |
默认存储期限 |
|---|---|---|---|
在安装软件模块更新期间返回了警告 |
7701 |
KLNAG_EV_PATCH_INSTALL_WARNING |
30 天 |
第三方软件更新安装已完成但存在警告 |
7696 |
KLNAG_EV_3P_PATCH_INSTALL_WARNING |
30 天 |
第三方软件更新安装已延时 |
7698 |
KLNAG_EV_3P_PATCH_INSTALL_SLIPPED |
30 天 |
发生了安全问题 |
549 |
GNRL_EV_APP_INCIDENT_OCCURED |
30 天 |
KSN 代理已启动。检查 KSN 可用性失败 |
7718 |
KSNPROXY_STARTED_CON_CHK_FAILED |
30 天 |
网络代理信息事件
下表显示具有“信息”严重级别的 Kaspersky Security Center 网络代理事件。
对于应用程序可以生成的每个事件,您可以在应用程序策略的事件配置选项卡上指定通知设置和存储设置。如果想要一次为所有事件配置通知设置,请在管理服务器属性中配置常规通知设置。
网络代理信息事件
事件类型显示名称 |
事件类型 ID |
事件类型 |
默认存储期限 |
|---|---|---|---|
软件模块更新已成功安装 |
7699 |
KLNAG_EV_PATCH_INSTALLED_SUCCESSFULLY |
30 天 |
软件模块更新安装已启动 |
7700 |
KLNAG_EV_PATCH_INSTALL_STARTING |
30 天 |
应用程序已安装 |
7703 |
KLNAG_EV_INV_APP_INSTALLED |
30 天 |
应用程序已卸载 |
7704 |
KLNAG_EV_INV_APP_UNINSTALLED |
30 天 |
已安装监控的应用程序 |
7705 |
KLNAG_EV_INV_OBS_APP_INSTALLED |
30 天 |
已卸载监控的应用程序 |
7706 |
KLNAG_EV_INV_OBS_APP_UNINSTALLED |
30 天 |
已安装第三方应用程序 |
7707 |
KLNAG_EV_INV_CMPTR_APP_INSTALLED |
30 天 |
已添加新设备 |
7708 |
KLNAG_EV_DEVICE_ARRIVAL |
30 天 |
设备已被删除 |
7709 |
KLNAG_EV_DEVICE_REMOVE |
30 天 |
设备已被检测 |
7710 |
KLNAG_EV_NAC_DEVICE_DISCOVERED |
30 天 |
设备已被授权 |
7711 |
KLNAG_EV_NAC_HOST_AUTHORIZED |
30 天 |
Windows 桌面共享:文件已读取 |
7712 |
KLUSRLOG_EV_FILE_READ |
30 天 |
Windows 桌面共享:文件已修改 |
7713 |
KLUSRLOG_EV_FILE_MODIFIED |
30 天 |
Windows 桌面共享:应用程序已启动 |
7714 |
KLUSRLOG_EV_PROCESS_LAUNCHED |
30 天 |
Windows 桌面共享:已启动 |
7715 |
KLUSRLOG_EV_WDS_BEGIN |
30 天 |
Windows 桌面共享:已停止 |
7716 |
KLUSRLOG_EV_WDS_END |
30 天 |
第三方软件更新已成功安装 |
7694 |
KLNAG_EV_3P_PATCH_INSTALLED_SUCCESSFULLY |
30 天 |
第三方软件更新安装已开始 |
7695 |
KLNAG_EV_3P_PATCH_INSTALL_STARTING |
30 天 |
KSN 代理已启动。KSN 可用性检查已成功完成 |
7719 |
KSNPROXY_STARTED_CON_CHK_OK |
30 天 |
KSN 代理已停止 |
7720 |
KSNPROXY_STOPPED |
30 天 |
使用事件分类
事件分类提供了从管理服务器数据库中选择的指定事件集合的屏幕视图。这些事件集根据以下类别进行分组:
- 按重要级别—严重事件、功能失败、警告和信息事件
- 按时间—最近事件
- 按类型—用户请求和审计事件
您可以基于 Kaspersky Security Center 云控制台界面上可以配置的设置创建和查看用户定义的事件分类。
在 Kaspersky Security Center 云控制台的“监控和报告”区域中单击“事件分类”可使用事件分类。
默认下,事件分类包含 7 天内的信息。
Kaspersky Security Center 云控制台拥有默认的事件分类集:
- 不同重要级别的事件:
- 严重事件
- 功能失败
- 警告
- 信息消息
- 用户请求(受管理应用程序事件)
- 最近事件(上周)
- 审计事件
在 Kaspersky Security Center 云控制台中,显示与工作区中的服务操作相关的审核事件。这些事件取决于卡巴斯基专家的行动。这些事件例如包括以下内容:管理服务器端口更改;管理服务器数据库备份;创建、修改和删除用户账户。
您也可以创建和配置附加用户定义分类。在用户定义分类中,您可以根据设备属性(设备名称、IP 范围和管理组)、根据事件类型和严重级别、根据应用程序和组件名称、以及根据时间间隔来筛选事件。也可以包含任务结果到搜索范围。您也可以单一搜索字段,可以输入一个词或几个词。所有属性(例如事件名称、描述、组件名称)中包含任意所输入词的事件被显示。
对于预定义和用户定义的分类,您可以限制显示事件的数量或者要搜索的记录的数量。两个选项都影响 Kaspersky Security Center 云控制台显示事件所花费的时间。数据库越大,过程越耗时。
您可以执行以下操作:
创建事件分类
要创建事件分类,请执行以下操作:
- 在主菜单中,转到“监控和报告”→“事件分类”。
- 单击添加。
- 在打开的“新事件分类”窗口中,指定新事件分类的设置。在窗口中重复此操作。
- 单击“保存”保存设置。
确认窗口打开。
- 要查看事件分类结果,请保持“转到分类结果”复选框为选中状态。
- 单击“保存”确认事件分类创建。
如果将“转到分类结果”复选框保持选中状态,将显示事件分类结果。否则,新事件分类出现在事件分类列表。
编辑事件分类
要编辑事件分类:
- 在主菜单中,转到“监控和报告”→ “事件分类”。
- 选中您要编辑的事件分类旁边的复选框。
- 单击“属性”按钮。
事件分类设置窗口打开。
- 编辑事件分类属性。
对于预定义的事件分类,只能编辑以下选项卡上的属性:常规(除了分类名称)、时间和访问权限。
对于用户定义分类,您可以编辑所有属性。
- 单击“保存”保存设置。
编辑的事件分类显示在列表。
查看事件分类列表
要查看事件分类:
- 在主菜单中,转到“监控和报告”→“事件分类”。
- 选择您要启动的事件分类旁边的复选框。
- 执行以下操作之一:
- 如果您要在事件分类结果中配置排序,做以下:
- 单击重新配置排序并开始按钮。
- 在显示的“重新配置事件分类排序”窗口中,指定排序设置。
- 单击分类的名称。
- 否则,如果想要以事件在管理服务器上的顺序查看事件列表,请单击分类名称。
- 如果您要在事件分类结果中配置排序,做以下:
事件分类结果被显示。
导出事件分类
Kaspersky Security Center 云控制台允许您将事件分类及其设置保存到 KLO 文件。您可以使用此 KLO 文件将保存的事件分类导入到 Kaspersky Security Center Windows 和 Kaspersky Security Center Linux。
请注意,您只能导出用户定义的事件分类。Kaspersky Security Center 云控制台默认集中的事件分类(预定义分类)无法保存到文件。
要导出事件分类:
- 在主菜单中,转到监控和报告 → 事件分类。
- 选中您要导出的事件分类旁边的复选框。
您不能同时导出多个事件分类。如果您选择了多个分类,导出按钮将被禁用。
- 单击“导出”按钮。
- 在打开的“另存为”窗口中,指定事件分类文件名和路径,然后单击保存按钮。
仅当您使用 Google Chrome、Microsoft Edge 或 Opera 时,才会显示“另存为”窗口。如果您使用其他浏览器,则事件分类文件会自动保存在“下载”文件夹。
导入事件分类
Kaspersky Security Center 云控制台允许您从 KLO 文件导入事件分类。KLO 文件包含导出的事件分类及其设置。
要导入事件分类:
- 在主菜单中,转到监控和报告 → 事件分类。
- 单击导入按钮,然后选择要导入的事件分类文件。
- 在打开的窗口中,指定 KLO 文件的路径,然后单击“打开”按钮。请注意,您仅可选择一个事件分类文件。
事件分类处理开始。
出现包含导入结果的通知。如果事件分类导入成功,您可以单击查看导入详细信息链接来查看事件分类属性。
成功导入后,事件分类会显示在分类列表中。事件分类的设置也会被导入。
如果新导入的事件分类与现有事件分类有相同的名称,则导入的分类在名称后会附加一个(<下一个序列号>)索引,例如:(1)、(2)。
页顶查看事件详情
要查看事件详情:
- 启动事件分类。
- 点击所需事件的时间。
“事件属性”窗口打开。
- 在显示的窗口中,您可以做以下:
- 查看关于所选事件的信息
- 在事件分类结果中转到上一个事件和下一个事件
- 转到发生事件的设备
- 转到包含发生事件的设备的管理组
- 对于任务相关事件,转到任务属性
导出事件到文件
Kaspersky Security Center 云控制台可让您将事件分类中的事件保存到 TXT 文件。
要导出事件到文件:
- 启动事件分类。
- 选择所需事件旁边的复选框。
您还可以选择多个事件或整个事件分类。
- 单击“导出到文件”按钮。
所选事件被导出到 TXT 文件。
记录任务和策略事件信息
本节提供有关如何最大程度地减少 Kaspersky Security Center 云控制台数据库中存储的任务和策略的事件数量的建议。默认情况下,每 1000 台设备有 100,000 个事件。如果超过此限制,新事件将覆盖旧事件。结果,关键事件可能会消失。此外,名为“Events”的管理服务器警告事件超过了数据库中事件数的限制,事件已被删除。在这些情况下,我们建议您按照本节中的说明进行操作。
因此,您将提高执行与事件分析相关的方案的速度。此外,这些建议还可以帮助您降低关键事件被大量事件覆盖的风险。
默认情况下,每个任务和策略的属性可以用于存储所有任务执行和策略强制执行的相关事件。但是,如果任务频繁运行(例如,每周运行一次以上),则事件数量可能会太大,并且事件可能会淹没数据库。此种情况下,建议选择任务设置的两个选项中的一个:
- 保存任务进度相关事件。此种情况下,Kaspersky Security Center 云控制台仅从运行任务的每个设备接收任务启动、进程和完成信息(成功、带有警告或错误)。
- 仅保存任务执行结果。此种情况下,Kaspersky Security Center 云控制台仅从运行任务的每个设备接收任务完成信息(成功、带有警告或错误)。
如果策略为大数量设备定义(例如,多于 10,000 台),事件数量可能很大且事件可能溢出数据库。此种情况下,建议在策略设置中仅选择最关键的事件并启用它们的记录。建议您禁用所有其他事件的记录。
您也可以降低任务或策略相关事件的存储期限。任务相关事件和策略相关事件的默认期限分别是 7 天和 30 天。当更改事件存储期限时,请考虑您的组织采用的工作程序以及系统管理员用以分析每个事件的时间。
如果有关组任务中间状态更改的事件和有关应用策略的事件在 Kaspersky Security Center 云控制台数据库中的所有事件中占据很大份额,建议修改事件存储设置。
页顶删除事件分类
您仅可以删除用户定义的事件分类。预定义事件分类无法被删除。
要删除一个或几个事件分类:
- 在主菜单中,转到“监控和报告” → “事件分类”。
- 选择您要删除的事件分类旁边的复选框。
- 单击删除。
- 在打开的窗口中,单击“确定”。
事件分类被删除。