Kaspersky Security Center 14.2 Windows

Esportazione degli eventi direttamente dal database

È possibile recuperare gli eventi direttamente dal database di Kaspersky Security Center senza dover utilizzare l'interfaccia di Kaspersky Security Center. È possibile eseguire direttamente le query sulle visualizzazioni pubbliche e recuperare i dati degli eventi o creare le proprie visualizzazioni sulla base delle visualizzazioni pubbliche esistenti e configurarle in modo che recuperino i dati necessari.

Visualizzazioni pubbliche

Per maggiore praticità, è disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

La visualizzazione pubblica v_akpub_ev_event contiene un set di campi che rappresentano i parametri degli eventi nel database. Nel documento klakdb.chm è inoltre possibile trovare informazioni sulle visualizzazioni pubbliche che corrispondono ad altre entità di Kaspersky Security Center, ad esempio dispositivi, applicazioni o utenti. È possibile utilizzare queste informazioni nelle query.

Questa sezione contiene le istruzioni per l'esecuzione di una query SQL tramite l'utilità klsql2 e un esempio di query.

Per creare query SQL o visualizzazioni di database, è anche possibile utilizzare qualsiasi altro programma per l'utilizzo dei database. Le informazioni su come visualizzare i parametri per la connessione al database di Kaspersky Security Center, ad esempio il nome istanza e il nome database, sono indicate nella sezione corrispondente.

In questa sezione

Esecuzione di una query SQL tramite l'utilità klsql2

Esempio di una query SQL nell'utilità klsql2

Visualizzazione del nome del database di Kaspersky Security Center

Vedere anche:

Configurazione dell'esportazione di eventi nei sistemi SIEM

Inizio pagina
[Topic 151344_1]

Esecuzione di una query SQL tramite l'utilità klsql2

Questo articolo descrive come scaricare e utilizzare l'utilità klsql2 e come eseguire una query SQL utilizzando questa utilità.

Per utilizzare l'utilità klsql2:

  1. Individuare l'utilità klsql2 nella cartella di installazione di Kaspersky Security Center. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center. Non utilizzare le versioni dell'utilità klsql2 destinate alle versioni precedenti di Kaspersky Security Center.
  2. Creare un file con l'estensione .sql in qualsiasi editor di testo e posizionare il file nella stessa cartella con l'utilità.
  3. Nel file .sql creato, digitare la query SQL desiderata e salvare il file.
  4. Nel dispositivo in cui è installato Kaspersky Security Center Administration Server digitare nella riga di comando il seguente comando per eseguire la query SQL dal file .sql e salvare i risultati nel file result.xml:

    klsql2 -i src.sql -u <username> -p <password> -o result.xml

    dove <nome utente> e <password> sono le credenziali dell'account utente che ha accesso al database.

  5. Se richiesto, inserire account utente e password dell'account utente che ha accesso al database.
  6. Aprire i file result.xml creati per visualizzare i risultati della query SQL.

È possibile modificare il file .sql e creare qualsiasi query SQL sulle visualizzazioni pubbliche. Eseguire la query SQL dalla riga di comando e salvare i risultati in un file.

Vedere anche

Configurazione dell'esportazione di eventi nei sistemi SIEM

Inizio pagina
[Topic 151343_1]

Esempio di una query SQL nell'utilità klsql2

Questa sezione fornisce un esempio di query SQL, eseguita tramite l'utilità klsql2.

Il seguente esempio illustra il recupero degli eventi che si sono verificati nei dispositivi negli ultimi sette giorni e la visualizzazione degli eventi ordinati in base all'ora in cui si sono verificati. Gli eventi più recenti vengono visualizzati per primi.

Esempio:

SELECT

 

/* identificatore dell'evento */

e.nId,

 

/* ora in cui si è verificato l'evento */

e.tmRiseTime,

 

/* nome interno del tipo di eventoe */

e.strEventType,

 

/* nome visualizzato dell'evento */

e.wstrEventTypeDisplayName,

 

/* descrizione visualizzata dell'evento */

e.wstrDescription,

 

/* nome del gruppo a cui appartiene il dispositivo */

e.wstrGroupName,

 

/* nome visualizzato del dispositivo in cui si è verificato l'evento */

h.wstrDisplayName,

CAST(((h.nIp / 16777216) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 65536) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 256) & 255) AS varchar(4)) + '.' +

 

/* indirizzo IP del dispositivo, in cui si è verificato l'evento */

CAST(((h.nIp) & 255) AS varchar(4)) as strIp

FROM v_akpub_ev_event e

INNER JOIN v_akpub_host h ON h.nId=e.nHostId

WHERE e.tmRiseTime>=DATEADD(Day, -7, GETUTCDATE())

ORDER BY e.tmRiseTime DESC

Vedere anche:

Configurazione dell'esportazione di eventi nei sistemi SIEM

Inizio pagina
[Topic 151338_1]

Visualizzazione del nome del database di Kaspersky Security Center

Se si desidera accedere al database di Kaspersky Security Center tramite gli strumenti di gestione database SQL Server, MySQL o MariaDB, è necessario conoscere il nome del database per connettersi dall'editor degli script SQL.

Per visualizzare il nome del database di Kaspersky Security Center:

  1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

    Verrà visualizzata la finestra delle proprietà di Administration Server.

  2. Nella scheda Generale, selezionare la sezione Dettagli del database corrente.

Il nome del database è specificato nel campo Nome database. Utilizzare il nome del database per fare riferimento al database nelle query SQL.

Vedere anche:

Configurazione dell'esportazione di eventi nei sistemi SIEM

Inizio pagina
[Topic 228689]