Toute opération de Kaspersky Endpoint Security génère des événements. L'administrateur de l'application peut afficher ces événements à l'aide du système de requête.
Kaspersky Endpoint Security informe les utilisateurs des nouveaux événements des manières suivantes :
Si Kaspersky Endpoint Security est administré par Kaspersky Security Center, les informations sur les événements peuvent être transmises au Serveur d'administration de Kaspersky Security Center. L'administrateur de Kaspersky Endpoint Security peut configurer les notifications par email ou l'exécution du script lorsqu'un événement est reçu de l'application. Pour en savoir plus sur l'administration des rapports dans Kaspersky Security Center, consultez la documentation de Kaspersky Security Center.
Si l'interface utilisateur graphique est activée, des informations sur les événements peuvent être affichées dans les rapports et dans les fenêtres contextuelles de l'application.
En utilisant la requête locale vers le stockage des événements de Kaspersky Endpoint Security. L'administrateur de l'application peut écrire les scripts en fonction des événements générés.
Pour obtenir des informations sur tous les événements du stockage :
kesl-control -E --query|less
Par défaut, l'application stocke jusqu'à 500 000 événements. Vous pouvez utiliser la commande less pour parcourir la liste des événements affichés.
Vous pouvez utiliser le système de requête pour afficher des événements spécifiques. Lorsque vous créez une requête, spécifiez le champ requis, sélectionnez l'opérateur de comparaison et définissez la valeur requise pour celui-ci. La valeur doit être spécifiée entre guillemets simples ('), la requête entière doit être entre guillemets doubles (“) :
--query "<champ> <opérateur de comparaison> '<valeur>' [et <champ> <opérateur de comparaison> '<valeur>' *]"
Exemple d'événement :
Voici un exemple de l'événement ThreatDetected :
EventType=ThreatDetected
EventId=2671
Initiator=Product
Date=2020-04-30 17:17:17
DangerLevel=Critical
FileName=/root/eicar.com.txt
ObjectName=File
TaskName=File_Monitoring
RuntimeTaskId=2
TaskId=1
DetectName=EICAR-Test-File
TaskType=OAS
FileOwner=root
FileOwnerId=0
DetectCertainty=Sure
DetectType=Virware
DetectSource=Local
ObjectId=1
AccessUser=root
AccessUserId=0
Exemples de requêtes:
Obtenez tous les événements selon le champ EventType :
Obtenez tous les événements selon les champs EventType et FileName like :
kesl-control -E --query "EventType == 'ThreatDetected' and FileName like '%eicar%'"
Obtenez tous les événements produits selon la tâche File_Monitoring après le moment spécifié.
kesl-control -E --query "TaskName == 'File_Monitoring' et Date > '1588253494'"
Le champ Date doit être spécifié dans le système d'horodatage Unix (le nombre de secondes qui se sont écoulées depuis 00:00:00 (UTC), 1er janvier 1970).