Sommario
- Eventi e selezioni di eventi
- Informazioni sugli eventi in Kaspersky Security Center Linux
- Eventi dei componenti di Kaspersky Security Center Linux
- Utilizzo di selezioni eventi
- Creazione di una selezione eventi
- Modifica di una selezione eventi
- Visualizzazione di un elenco di una selezione eventi
- Visualizzazione dei dettagli di un evento
- Esportazione degli eventi in un file
- Visualizzazione della cronologia di un oggetto da un evento
- Eliminazione di eventi
- Eliminazione di selezioni eventi
- Impostazione del periodo di archiviazione per un evento
- Blocco degli eventi frequenti
- Elaborazione e archiviazione di eventi in Administration Server
Eventi e selezioni di eventi
Questa sezione fornisce informazioni sugli eventi e sulle selezioni di eventi, sui tipi di eventi che si verificano nei componenti di Kaspersky Security Center Linux e sulla gestione del blocco degli eventi frequenti.
Informazioni sugli eventi in Kaspersky Security Center Linux
Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server.
Eventi in base al tipo
In Kaspersky Security Center Linux sono disponibili i seguenti tipi di eventi:
- Eventi generici. Questi eventi si verificano in tutte le applicazioni Kaspersky gestite. Un esempio di evento generico è l'Epidemia di virus. Gli eventi generici hanno sintassi e semantica rigorosamente definite. Gli eventi generici vengono ad esempio utilizzati nei rapporti e nei dashboard.
- Eventi specifici delle applicazioni gestiti da Kaspersky. Ogni applicazione Kaspersky gestita dispone di uno specifico set di eventi.
Eventi in base alla sorgente
È possibile visualizzare l'elenco completo degli eventi che possono essere generati da un'applicazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare l'elenco degli eventi nelle proprietà dell'Administration Server.
Gli eventi possono essere generati dalle seguenti applicazioni:
- Componenti di Kaspersky Security Center Linux:
- Applicazioni Kaspersky gestite
Per i dettagli sugli eventi generati dalle applicazioni gestite da Kaspersky, consultare la documentazione dell'applicazione corrispondente.
Eventi in base al livello di importanza
Ogni evento dispone di uno specifico livello di importanza. In base alle condizioni in cui si verifica, a un evento possono essere assegnati diversi livelli di importanza. Esistono quattro livelli di importanza degli eventi:
- Un evento critico è un evento che indica la presenza di un problema critico che può determinare una perdita dei dati, un malfunzionamento o un errore critico.
- Un errore funzionale è un evento che indica la presenza di un problema grave, un errore o un malfunzionamento che si è verificato durante l'esecuzione dell'applicazione o di una procedura.
- Un avviso è un evento che non è necessariamente grave, ma indica comunque un potenziale problema futuro. La maggior parte degli eventi viene designata come avviso se l'applicazione può essere ripristinata senza perdite di dati o funzionalità importanti dopo che si sono verificati tali eventi.
- Un evento informativo è un evento che si verifica allo scopo di segnalare il completamento di un'operazione, il corretto funzionamento dell'applicazione o il completamento di una procedura.
Ogni evento ha un periodo di archiviazione definito, durante il quale può essere visualizzato o modificato in Kaspersky Security Center Linux. Alcuni eventi non vengono salvati nel database di Administration Server per impostazione predefinita, poiché il relativo periodo di archiviazione definito è pari a zero. Solo gli eventi che verranno memorizzati nel database di Administration Server per almeno un giorno possono essere esportati in sistemi esterni.
Eventi dei componenti di Kaspersky Security Center Linux
Ogni componente Kaspersky Security Center Linux dispone di uno specifico set di tipi di eventi. Questa sezione elenca i tipi di eventi che si verificano nell'Administration Server e nel Network Agent di Kaspersky Security Center. I tipi di eventi che si verificano nelle applicazioni Kaspersky non sono elencati in questa sezione.
Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.
Struttura dei dati della descrizione del tipo di evento
Per ogni tipo di evento, sono indicati il relativo nome visualizzato, l'identificatore (ID), il codice alfabetico, la descrizione e il periodo di archiviazione predefinito.
- Nome visualizzato del tipo di evento. Questo testo è visualizzato in Kaspersky Security Center Linux durante la configurazione degli eventi e quando gli eventi si verificano.
- ID del tipo di evento. Questo codice numerico viene utilizzato durante l'elaborazione degli eventi tramite strumenti di terzi per l'analisi degli eventi.
- Tipo di evento (codice alfabetico). Questo codice viene utilizzato quando si esplorano e si elaborano gli eventi con le visualizzazione pubbliche disponibili nel database di Kaspersky Security Center Linux e quando gli eventi vengono esportati in un sistema SIEM.
- Descrizione. Questo testo contiene le situazioni in cui si verifica un evento e come procedere in questo caso.
- Periodo di archiviazione predefinito. Rappresenta il numero di giorni per cui l'evento viene memorizzato nel database di Administration Server ed è visualizzato nell'elenco degli eventi in Administration Server. Al termine di questo periodo, l'evento viene eliminato. Se il valore per il periodo di archiviazione degli eventi è 0, gli eventi vengono rilevati ma non sono visualizzati nell'elenco degli eventi in Administration Server. Se è stato configurato il salvataggio di tali eventi nel registro eventi del sistema operativo, è possibile accedervi in tale posizione.
È possibile modificare il periodo di archiviazione per gli eventi: Impostazione del periodo di archiviazione per un evento
Eventi di Administration Server
Questa sezione contiene informazioni sugli eventi relativi ad Administration Server.
Eventi critici di Administration Server
La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Critico.
Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.
Eventi critici di Administration Server
Nome visualizzato del tipo di evento |
ID del tipo di evento |
Tipo di evento |
Descrizione |
Periodo di archiviazione predefinito |
|---|---|---|---|---|
È stato superato il limite di licenze |
4099 |
KLSRV_EV_LICENSE_CHECK_MORE_110 |
Una volta al giorno Kaspersky Security Center Linux verifica se è stato superato un limite di licenze. Gli eventi di questo tipo si verificano quando Administration Server rileva il superamento di alcune limitazioni di licenza da parte delle applicazioni Kaspersky installate nei dispositivi client e se il numero delle unità di licensing attualmente utilizzate coperte da una singola licenza supera il 110% del numero totale di unità coperte dalla licenza. Anche quando si verifica questo evento, i dispositivi client sono protetti. È possibile rispondere all'evento nei seguenti modi:
Kaspersky Security Center Linux determina le regole per generare gli eventi quando viene superato un limite di licenze. |
180 giorni |
Il dispositivo è diventato non gestito |
4111 |
KLSRV_HOST_OUT_CONTROL |
Eventi di questo tipo si verificano se un dispositivo gestito è visibile nella rete ma non si connette ad Administration Server da un periodo specifico. Determinare il motivo che impedisce il corretto funzionamento di Network Agent nel dispositivo. Le cause possibili includono i problemi di rete e la rimozione di Network Agent dal dispositivo. |
180 giorni |
Lo stato del dispositivo è Critico |
4113 |
KLSRV_HOST_STATUS_CRITICAL |
Eventi di questo tipo si verificano quando a un dispositivo gestito viene assegnato lo stato Critico. È possibile configurare le condizioni in cui lo stato del dispositivo diventa Critico. |
180 giorni |
Il file chiave è stato aggiunto alla lista vietati |
4124 |
KLSRV_LICENSE_BLACKLISTED |
Eventi di questo tipo si verificano quando Kaspersky ha aggiunto il codice di attivazione o il file chiave in uso alla lista vietati. Contattare il Servizio di assistenza tecnica per ulteriori dettagli. |
180 giorni |
La licenza sta per scadere |
4129 |
KLSRV_EV_LICENSE_SRV_EXPIRE_SOON |
Eventi di questo tipo si verificano quando si avvicina la data di scadenza della licenza commerciale. Una volta al giorno Kaspersky Security Center Linux verifica se si è in prossimità della data di scadenza della licenza. Gli eventi di questo tipo vengono pubblicati 30 giorni, 15 giorni, 5 giorni e 1 giorno prima della data di scadenza della licenza. Questo numero di giorni non può essere modificato. Se Administration Server è disattivato nel giorno specificato prima della data di scadenza della licenza, l'evento non verrà pubblicato fino al giorno successivo. Alla scadenza della licenza commerciale, Kaspersky Security Center Linux fornisce solo le funzionalità di base. È possibile rispondere all'evento nei seguenti modi:
|
180 giorni |
Il certificato è scaduto |
4132 |
KLSRV_CERTIFICATE_EXPIRED |
Eventi di questo tipo si verificano allo scadere del certificato di Administration Server per Mobile Device Management. È necessario aggiornare il certificato scaduto. |
180 giorni |
Eventi di errore funzionale di Administration Server
La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Errore funzionale.
Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.
Eventi di errore funzionale di Administration Server
Nome visualizzato del tipo di evento |
ID del tipo di evento |
Tipo di evento |
Descrizione |
Periodo di archiviazione predefinito |
|---|---|---|---|---|
Errore di runtime
|
4125
|
KLSRV_RUNTIME_ERROR
|
Eventi di questo tipo si verificano a causa di problemi sconosciuti. La maggior parte delle volte si tratta di problemi DBMS, problemi di rete e altri problemi hardware e software. È possibile trovare i dettagli dell'evento nella descrizione dell'evento.
|
180 giorni
|
Impossibile copiare gli aggiornamenti nella cartella specificata |
4123 |
KLSRV_UPD_REPL_FAIL |
Eventi di questo tipo si verificano quando gli aggiornamenti software vengono copiati in una cartella condivisa aggiuntiva. È possibile rispondere all'evento nei seguenti modi:
|
180 giorni |
Spazio su disco esaurito |
4107 |
KLSRV_DISK_FULL |
Eventi di questo tipo si verificano quando nel disco rigido del dispositivo in cui è installato Administration Server si esaurisce lo spazio disponibile. Liberare spazio su disco nel dispositivo. |
180 giorni |
La cartella condivisa non è disponibile |
4108 |
KLSRV_SHARED_FOLDER_UNAVAILABLE |
Eventi di questo tipo si verificano se la cartella condivisa di Administration Server non è disponibile. È possibile rispondere all'evento nei seguenti modi:
|
180 giorni |
Database di Administration Server non disponibile |
4109 |
KLSRV_DATABASE_UNAVAILABLE |
Eventi di questo tipo si verificano se il database di Administration Server diventa non disponibile. È possibile rispondere all'evento nei seguenti modi:
|
180 giorni |
Spazio disponibile esaurito nel database di Administration Server |
4110 |
KLSRV_DATABASE_FULL |
Eventi di questo tipo si verificano quando non è disponibile spazio nel database di Administration Server. Administration Server non funziona quando il database ha raggiunto la capacità massima e non è possibile eseguire ulteriori registrazioni nel database. Di seguito sono riportate le cause di questo evento, a seconda del DBMS in uso, e le risposte appropriate all'evento:
Rivedere le informazioni sulla selezione DBMS. |
180 giorni |
Impossibile eseguire il polling del segmento cloud |
4143 |
KLSRV_KLCLOUD_SCAN_ERROR |
Eventi di questo tipo si verificano quando l'Administration Server non riesce a eseguire il polling di un segmento di rete in un ambiente cloud. Leggere i dettagli nella descrizione dell'evento e rispondere di conseguenza. |
Non archiviato |
Eventi di avviso di Administration Server
La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Avviso.
Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.
Eventi di avviso di Administration Server
Nome visualizzato del tipo di evento |
ID del tipo di evento |
Tipo di evento |
Descrizione |
Periodo di archiviazione predefinito |
|---|---|---|---|---|
È stato rilevato un evento frequente |
|
KLSRV_EVENT_SPAM_EVENTS_DETECTED |
Eventi di questo tipo si verificano quando Administration Server rileva un evento frequente in un dispositivo gestito. Per ulteriori dettagli, consultare la sezione seguente: Blocco degli eventi frequenti. |
90 giorni |
È stato superato il limite di licenze |
4098 |
KLSRV_EV_LICENSE_CHECK_100_110 |
Una volta al giorno Kaspersky Security Center Linux verifica se è stato superato un limite di licenze. Gli eventi di questo tipo si verificano quando Administration Server rileva il superamento di alcune limitazioni di licenza da parte delle applicazioni Kaspersky installate nei dispositivi client e se il numero delle unità di licensing attualmente utilizzate coperte da una singola licenza costituisce dal 100% al 110% del numero totale di unità coperte dalla licenza. Anche quando si verifica questo evento, i dispositivi client sono protetti. È possibile rispondere all'evento nei seguenti modi:
Kaspersky Security Center Linux determina le regole per generare gli eventi quando viene superato un limite di licenze. |
90 giorni |
Il dispositivo è rimasto inattivo nella rete per molto tempo |
4103 |
KLSRV_EVENT_HOSTS_NOT_VISIBLE |
Eventi di questo tipo si verificano quando un dispositivo gestito risulta inattivo per un determinato periodo di tempo. Molto spesso ciò accade quando un dispositivo gestito viene disattivato. È possibile rispondere all'evento nei seguenti modi:
|
90 giorni |
Conflitto dei nomi di dispositivo |
4102 |
KLSRV_EVENT_HOSTS_CONFLICT |
Eventi di questo tipo si verificano quando Administration Server considera due o più dispositivi gestiti come un unico dispositivo. Molto spesso questo accade quando un disco rigido clonato è stato utilizzato per la distribuzione del software nei dispositivi gestiti e senza eseguire il passaggio di Network Agent alla modalità di clonazione del disco dedicata in un dispositivo di riferimento. Per evitare questo problema, eseguire il passaggio di Network Agent alla modalità di clonazione del disco in un dispositivo di riferimento prima di clonare il disco rigido di questo dispositivo. |
90 giorni |
Lo stato del dispositivo è Avviso
|
4114
|
KLSRV_HOST_STATUS_WARNING
|
Eventi di questo tipo si verificano quando a un dispositivo gestito viene assegnato lo stato Avviso. È possibile configurare le condizioni in cui lo stato del dispositivo diventa Avviso.
|
90 giorni
|
Il certificato è stato richiesto |
4133 |
KLSRV_CERTIFICATE_REQUESTED |
Eventi di questo tipo si verificano quando un certificato per Mobile Device Management non viene riemesso automaticamente. Di seguito sono elencate le possibili cause e le risposte appropriate all'evento:
|
90 giorni |
Il certificato è stato rimosso |
4134 |
KLSRV_CERTIFICATE_REMOVED |
Eventi di questo tipo si verificano quando un amministratore rimuove qualsiasi tipo di certificato (generale, posta, VPN) per Mobile Device Management. Dopo aver rimosso un certificato, i dispositivi mobili connessi tramite questo certificato non riusciranno a connettersi ad Administration Server. Questo evento potrebbe essere utile quando si esaminano malfunzionamenti associati alla gestione dei dispositivi mobili. |
90 giorni |
Il certificato APNs è scaduto |
4135 |
KLSRV_APN_CERTIFICATE_EXPIRED |
Eventi di questo tipo si verificano allo scadere di un certificato APNs. È necessario rinnovare manualmente il certificato APNs e installarlo in un Server per dispositivi mobili MDM iOS. |
Non archiviato |
Il certificato APNs sta per scadere |
4136 |
KLSRV_APN_CERTIFICATE_EXPIRES_SOON |
Eventi di questo tipo si verificano quando mancano meno di 14 giorni allo scadere del certificato APNs. Allo scadere del certificato APNs, è necessario rinnovare manualmente il certificato APNs e installarlo in un Server per dispositivi mobili MDM iOS. È consigliabile pianificare il rinnovo del certificato APNs prima della data di scadenza. |
Non archiviato |
Impossibile inviare il messaggio FCM al dispositivo mobile |
4138 |
KLSRV_GCM_DEVICE_ERROR |
Eventi di questo tipo si verificano quando Mobile Device Management è configurato per l'utilizzo di Google Firebase Cloud Messaging (FCM) per la connessione a dispositivi mobili gestiti con un sistema operativo Android e FCM Server non riesce a gestire alcune delle richieste ricevute da Administration Server. Questo vuol dire che alcuni dei dispositivi mobili gestiti non riceveranno una notifica push. Leggere il codice HTTP nei dettagli della descrizione dell'evento e rispondere di conseguenza. Per ulteriori informazioni sui codici HTTP ricevuti da FCM Server e sugli errori correlati, fare riferimento alla documentazione del servizio Google Firebase (vedere il capitolo "Codici di risposta dell'errore dei messaggi downstream"). |
90 giorni |
Errore HTTP durante l'invio del messaggio FCM al server FCM |
4139 |
KLSRV_GCM_HTTP_ERROR |
Eventi di questo tipo si verificano quando Mobile Device Management è configurato per l'utilizzo di Google Firebase Cloud Messaging (FCM) per la connessione dei dispositivi mobili gestiti con il sistema operativo Android e FCM Server ripristina in Administration Server una richiesta con un codice HTTP diverso da 200 (OK). Di seguito sono elencate le possibili cause e le risposte appropriate all'evento:
|
90 giorni |
Impossibile inviare il messaggio FCM al server FCM |
4140 |
KLSRV_GCM_GENERAL_ERROR |
Eventi di questo tipo si verificano a causa di errori imprevisti sul lato Administration Server quando si utilizza il protocollo HTTP di Google Firebase Cloud Messaging. Leggere i dettagli nella descrizione dell'evento e rispondere di conseguenza. Se non si riesce a trovare autonomamente la soluzione a un problema, è consigliabile contattare il Servizio di assistenza tecnica Kaspersky. |
90 giorni |
Poco spazio libero nel disco rigido |
4105 |
KLSRV_NO_SPACE_ON_VOLUMES |
Eventi di questo tipo si verificano quando nel disco rigido del dispositivo in cui è installato Administration Server si esaurisce quasi totalmente lo spazio disponibile. Liberare spazio su disco nel dispositivo. |
90 giorni |
Spazio libero insufficiente nel database di Administration Server |
4106 |
KLSRV_NO_SPACE_IN_DATABASE |
Eventi di questo tipo si verificano se lo spazio in Administration Server è troppo limitato. Se non si ovvierà alla situazione, il database di Administration Server raggiungerà in breve tempo la capacità massima e Administration Server non funzionerà. Di seguito sono riportate le cause di questo evento, a seconda del DBMS in uso, e le risposte appropriate all'evento. Si utilizza il DBMS SQL Server Express Edition:
Si utilizza un DBMS diverso da SQL Server Express Edition:
Rivedere le informazioni sulla selezione DBMS. |
90 giorni |
La connessione all'Administration Server secondario è stata interrotta |
4116 |
KLSRV_EV_SLAVE_SRV_DISCONNECTED |
Eventi di questo tipo si verificano quando una connessione all'Administration Server secondario viene interrotta. Leggere il registro del sistema operativo nel dispositivo in cui è installato l'Administration Server secondario e rispondere di conseguenza. |
90 giorni |
La connessione all'Administration Server primario è stata interrotta |
4118 |
KLSRV_EV_MASTER_SRV_DISCONNECTED |
Eventi di questo tipo si verificano quando una connessione all'Administration Server primario viene interrotta. Leggere il registro del sistema operativo nel dispositivo in cui è installato l'Administration Server primario e rispondere di conseguenza. |
90 giorni |
Sono stati registrati nuovi aggiornamenti per i moduli software Kaspersky |
4141 |
KLSRV_SEAMLESS_UPDATE_REGISTERED |
Eventi di questo tipo si verificano quando Administration Server registra nuovi aggiornamenti per il software Kaspersky installato nei dispositivi gestiti la cui installazione richiede l'approvazione. Approvare o rifiutare gli aggiornamenti utilizzando Kaspersky Security Center Web Console. |
90 giorni |
Poiché è stato superato il limite relativo al numero di eventi nel database, è stata avviata l'eliminazione degli eventi |
4145 |
KLSRV_EVP_DB_TRUNCATING |
Eventi di questo tipo si verificano quando viene avviata l'eliminazione degli eventi precedenti dal database di Administration Server dopo il raggiungimento della capacità massima del database di Administration Server. È possibile rispondere all'evento nei seguenti modi: |
Non archiviato |
Poiché è stato superato il limite relativo al numero di eventi nel database, gli eventi sono stati eliminati |
4146 |
KLSRV_EVP_DB_TRUNCATED |
Eventi di questo tipo si verificano dopo l'eliminazione degli eventi precedenti dal database di Administration Server in seguito al raggiungimento della capacità massima del database di Administration Server. È possibile rispondere all'evento nei seguenti modi: |
Non archiviato |
Eventi informativi di Administration Server
La tabella seguente elenca gli eventi di Kaspersky Security Center Administration Server con il livello di importanza Informazioni.
Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare e configurare l'elenco degli eventi nelle proprietà dell'Administration Server. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.
Eventi informativi di Administration Server
Nome visualizzato del tipo di evento |
ID del tipo di evento |
Tipo di evento |
Periodo di archiviazione predefinito |
Osservazioni |
|---|---|---|---|---|
Utilizzo della chiave di licenza superiore al 90% |
4097 |
KLSRV_EV_LICENSE_CHECK_90 |
30 giorni |
Gli eventi di questo tipo si verificano quando Administration Server rileva che alcuni limiti di licenze stanno per essere superati dalle applicazioni Kaspersky installate nei dispositivi client e se il numero delle unità di licensing attualmente utilizzate coperte da una singola licenza rappresenta oltre il 90% del numero totale di unità coperte dalla licenza. Anche quando viene superato un limite di licenze, i dispositivi client sono protetti. È possibile rispondere all'evento nei seguenti modi:
Kaspersky Security Center Linux determina le regole per generare gli eventi quando viene superato un limite di licenze. |
Nuovo dispositivo rilevato |
4100 |
KLSRV_EVENT_HOSTS_NEW_DETECTED |
30 giorni |
Eventi di questo tipo si verificano quando vengono rilevati nuovi dispositivi in rete. |
Il dispositivo è stato aggiunto automaticamente al gruppo |
4101 |
KLSRV_EVENT_HOSTS_NEW_REDIRECTED |
30 giorni |
Eventi di questo tipo si verificano quando i dispositivi sono stati assegnati a un gruppo in base alle regole di spostamento dei dispositivi. |
Il dispositivo è stato rimosso dal gruppo poiché inattivo nella rete per molto tempo
|
4104
|
KLSRV_INVISIBLE_HOSTS_REMOVED
|
30 giorni
|
|
Sono disponibili alcuni file da inviare a Kaspersky per l'analisi |
4131 |
KLSRV_APS_FILE_APPEARED |
30 giorni |
|
L'ID istanza FCM è stato modificato in questo dispositivo mobile |
4137 |
KLSRV_GCM_DEVICE_REGID_CHANGED |
30 giorni |
|
Aggiornamenti copiati nella cartella specificata |
4122 |
KLSRV_UPD_REPL_OK |
30 giorni |
|
La connessione all'Administration Server secondario è stata stabilita |
4115 |
KLSRV_EV_SLAVE_SRV_CONNECTED |
30 giorni |
|
La connessione all'Administration Server primario è stata stabilita |
4117 |
KLSRV_EV_MASTER_SRV_CONNECTED |
30 giorni |
|
I database sono stati aggiornati |
4144 |
KLSRV_UPD_BASES_UPDATED |
30 giorni |
|
Controllo: la connessione ad Administration Server è stata stabilita |
4147 |
KLAUD_EV_SERVERCONNECT |
30 giorni |
Eventi di questo tipo si verificano quando un utente si connette ad Administration Server tramite Administration Console o Web Console. Questi eventi includono informazioni sull'indirizzo IP del dispositivo in cui è installata l'Administration Console basata su MMC o Web Console Server. |
Controllo: l'oggetto è stato modificato |
4148 |
KLAUD_EV_OBJECTMODIFY |
30 giorni |
Questo evento monitora le modifiche nei seguenti oggetti:
|
Controllo: lo stato dell'oggetto è stato modificato |
4150 |
KLAUD_EV_TASK_STATE_CHANGED |
30 giorni |
Ad esempio, questo evento si verifica quando un'attività non è riuscita con un errore. |
Controllo: le impostazioni del gruppo sono state modificate |
4149 |
KLAUD_EV_ADMGROUP_CHANGED |
30 giorni |
|
Controllo: la connessione ad Administration Server è stata terminata |
4151 |
KLAUD_EV_SERVERDISCONNECT |
30 giorni |
|
Controllo: le proprietà dell'oggetto sono state modificate |
4152 |
KLAUD_EV_OBJECTPROPMODIFIED |
30 giorni |
Questo evento monitora le modifiche nelle seguenti proprietà:
|
Controllo: le autorizzazioni dell'utente sono state modificate |
4153 |
KLAUD_EV_OBJECTACLMODIFIED |
30 giorni |
|
Controllo: le chiavi di criptaggio sono state importate o esportate da Administration Server |
5100 |
KLAUD_EV_DPEKEYSEXPORT |
30 giorni |
|
Eventi di Network Agent
Questa sezione contiene informazioni sugli eventi relativi a Network Agent.
Eventi di avviso di Network Agent
La tabella seguente elenca gli eventi di Network Agent con il livello di gravità Avviso.
Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.
Eventi di avviso di Network Agent
Nome visualizzato del tipo di evento |
ID del tipo di evento |
Tipo di evento |
Descrizione |
Periodo di archiviazione predefinito |
|---|---|---|---|---|
Si è verificato un incidente |
549 |
GNRL_EV_APP_INCIDENT_OCCURED |
Eventi di questo tipo si verificano quando viene rilevato un incidente in un dispositivo. Ad esempio, questo evento si verifica quando il dispositivo ha poco spazio su disco. |
30 giorni |
Proxy KSN avviato. Impossibile verificare la disponibilità di KSN |
7718 |
KSNPROXY_STARTED_CON_CHK_FAILED |
Gli eventi di questo tipo si verificano quando la connessione di prova non riesce per la connessione proxy KSN configurata. |
30 giorni |
Installazione dell'aggiornamento software di terze parti rimandata |
7698 |
KLNAG_EV_3P_PATCH_INSTALL_SLIPPED |
Ad esempio, eventi di questo tipo si verificano quando il Contratto di licenza con l'utente finale per un'installazione di aggiornamento di terze parti viene rifiutato. |
30 giorni |
Installazione dell'aggiornamento software di terze parti completata con un avviso |
7696 |
KLNAG_EV_3P_PATCH_INSTALL_WARNING |
Scaricare i file di traccia e controllare il valore del campo KLRI_PATCH_RES_DESC per i dettagli. |
30 giorni |
È stato restituito un avviso durante l'installazione dell'aggiornamento dei moduli software |
7701 |
KLNAG_EV_PATCH_INSTALL_WARNING |
Scaricare i file di traccia e controllare il valore del campo KLRI_PATCH_RES_DESC per i dettagli. |
30 giorni |
Eventi informativi di Network Agent
La tabella seguente elenca gli eventi di Network Agent con il livello di criticità Informazioni.
Per ogni evento che può essere generato da un'applicazione, è possibile specificare le impostazioni di notifica e le impostazioni di archiviazione nella scheda Configurazione eventi nel criterio dell'applicazione. Se si desidera configurare le impostazioni di notifica per tutti gli eventi contemporaneamente, configurare le impostazioni di notifica generali nelle proprietà di Administration Server.
Eventi informativi di Network Agent
Nome visualizzato del tipo di evento |
ID del tipo di evento |
Tipo di evento |
Periodo di archiviazione predefinito |
|---|---|---|---|
Applicazione installata |
7703 |
KLNAG_EV_INV_APP_INSTALLED |
30 giorni |
Applicazione rimossa |
7704 |
KLNAG_EV_INV_APP_UNINSTALLED |
30 giorni |
Applicazione monitorata installata |
7705 |
KLNAG_EV_INV_OBS_APP_INSTALLED |
30 giorni |
Applicazione monitorata rimossa |
7706 |
KLNAG_EV_INV_OBS_APP_UNINSTALLED |
30 giorni |
Nuovo dispositivo aggiunto |
7708 |
KLNAG_EV_DEVICE_ARRIVAL |
30 giorni |
Dispositivo rimosso |
7709 |
KLNAG_EV_DEVICE_REMOVE |
30 giorni |
Nuovo dispositivo rilevato |
7710 |
KLNAG_EV_NAC_DEVICE_DISCOVERED |
30 giorni |
Dispositivo autorizzato |
7711 |
KLNAG_EV_NAC_HOST_AUTHORIZED |
30 giorni |
Proxy KSN avviato. La verifica della disponibilità di KSN è stata completata |
7719 |
KSNPROXY_STARTED_CON_CHK_OK |
30 giorni |
Proxy KSN arrestato |
7720 |
KSNPROXY_STOPPED |
30 giorni |
Applicazione di terze parti installata |
7707 |
KLNAG_EV_INV_CMPTR_APP_INSTALLED |
30 giorni |
Installazione dell'aggiornamento software di terze parti completata |
7694 |
KLNAG_EV_3P_PATCH_INSTALLED_SUCCESSFULLY |
30 giorni |
Installazione dell'aggiornamento software di terze parti avviata |
7695 |
KLNAG_EV_3P_PATCH_INSTALL_STARTING |
30 giorni |
Installazione dell'aggiornamento dei moduli software avviata |
7700 |
KLNAG_EV_PATCH_INSTALL_STARTING |
30 giorni |
Condivisione desktop Windows: applicazione avviata |
7714 |
KLUSRLOG_EV_PROCESS_LAUNCHED |
30 giorni |
Condivisione desktop Windows: file modificato |
7713 |
KLUSRLOG_EV_FILE_MODIFIED |
30 giorni |
Condivisione desktop Windows: file letto |
7712 |
KLUSRLOG_EV_FILE_READ |
30 giorni |
Condivisione desktop Windows: avviata |
7715 |
KLUSRLOG_EV_WDS_BEGIN |
30 giorni |
Condivisione desktop Windows: arrestata |
7716 |
KLUSRLOG_EV_WDS_END |
30 giorni |
Utilizzo di selezioni eventi
Le selezioni eventi consentono di visualizzare i set denominati degli eventi selezionati dal database di Administration Server. Questi set di eventi sono raggruppati in base alle seguenti categorie:
- In base al livello di importanza: Eventi critici, Errori funzionali, Avvisi e Eventi informativi
- In base al tempo: Eventi recenti
- In base al tipo: Richieste utente e Eventi di controllo
È possibile creare e visualizzare le selezioni eventi definite dall'utente in base alle impostazioni disponibili per la configurazione nell'interfaccia di Kaspersky Security Center Web Console.
Le selezioni eventi sono disponibili in Kaspersky Security Center Web Console, nella sezione Monitoraggio e generazione dei rapporti, facendo clic su Selezioni eventi.
Per impostazione predefinita, le selezioni eventi includono informazioni relative agli ultimi sette giorni.
Kaspersky Security Center Linux dispone di un set predefinito di selezioni eventi (preimpostate):
- Eventi con diversi livelli di importanza:
- Eventi critici
- Errori funzionali
- Avvisi
- Messaggi informativi
- Richieste utente (eventi delle applicazioni gestite)
- Eventi recenti (nell'ultima settimana)
- Eventi di controllo.
È inoltre possibile creare e configurare ulteriori selezioni definite dall'utente. Nelle selezioni definite dall'utente è possibile filtrare gli eventi in base alle proprietà dei dispositivi da cui hanno avuto origine (nomi dei dispositivi, intervalli IP e gruppi di amministrazione), per tipi di eventi e livelli di criticità, per nome dell'applicazione e del componente e per intervallo di tempo. È anche possibile includere i risultati delle attività nell'ambito della ricerca. È inoltre disponibile un semplice campo di ricerca, in cui è possibile digitare una o più parole. Vengono visualizzati tutti gli eventi che contengono una delle parole digitate in qualsiasi punto dei relativi attributi (come nome dell'evento, descrizione o nome del componente).
Sia per le selezioni predefinite che per quelle definite dall'utente, è possibile limitare il numero di eventi visualizzati o il numero di record da cercare. Entrambe le opzioni influiscono sul tempo richiesto da Kaspersky Security Center Linux per visualizzare gli eventi. Più grande è il database, più tempo può richiedere il processo.
È possibile procedere come segue:
- Modificare le proprietà delle selezioni eventi
- Generare selezioni eventi
- Visualizzare i dettagli delle selezioni eventi
- Eliminare le selezioni eventi
- Eliminare gli eventi dal database di Administration Server
Creazione di una selezione eventi
Per creare una selezione eventi:
- Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
- Fare clic su Aggiungi.
- Nella finestra Nuova selezione eventi visualizzata specificare le impostazioni della nuova selezione eventi. Eseguire tale operazione in una o più sezioni della finestra.
- Fare clic su Salva per salvare le modifiche.
Verrà visualizzata la finestra di conferma.
- Per visualizzare i risultati della selezione eventi, mantenere selezionata la casella di controllo Vai al risultato della selezione.
- Fare clic su Salva per confermare la creazione della selezione eventi.
Se è stata mantenuta selezionata la casella di controllo Vai al risultato della selezione, verranno visualizzati i risultati della selezione eventi. In caso contrario, la nuova selezione eventi verrà visualizzata nell'elenco delle selezioni eventi.
Modifica di una selezione eventi
Per modificare una selezione eventi:
- Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
- Selezionare la casella di controllo accanto alla selezione eventi che si desidera modificare.
- Fare clic sul pulsante Proprietà.
Verrà visualizzata una finestra delle impostazioni della selezione eventi.
- Modificare le proprietà della selezione eventi.
Per le selezioni di eventi predefinite, è possibile modificare solo le proprietà nelle seguenti schede: Generale (tranne il nome della selezione), Data/Ora e Diritti di accesso.
Per le selezioni definite dall'utente, è possibile modificare tutte le proprietà.
- Fare clic su Salva per salvare le modifiche.
La selezione eventi modificata verrà visualizzata nell'elenco.
Visualizzazione di un elenco di una selezione eventi
Per visualizzare una selezione eventi:
- Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
- Selezionare la casella di controllo accanto alla selezione eventi che si desidera avviare.
- Eseguire una delle seguenti operazioni:
- Se si desidera configurare l'ordinamento dei risultati della selezione eventi, effettuare le seguenti operazioni:
- Fare clic sul pulsante Riconfigura ordinamento e avvia.
- Nella finestra Riconfigurare l'ordinamento per la selezione eventi visualizzata specificare le impostazioni di ordinamento.
- Fare clic sul nome della selezione.
- In caso contrario, se si desidera visualizzare l'elenco degli eventi in base all'ordinamento in Administration Server, fare clic sul nome della selezione.
- Se si desidera configurare l'ordinamento dei risultati della selezione eventi, effettuare le seguenti operazioni:
Verranno visualizzati i risultati della selezione eventi.
Visualizzazione dei dettagli di un evento
Per visualizzare i dettagli di un evento:
- Avviare una selezione eventi.
- Fare clic sull'ora dell'evento desiderato.
Verrà visualizzata la finestra Proprietà evento.
- Nella finestra visualizzata è possibile eseguire le seguenti operazioni:
- Visualizzare le informazioni sull'evento selezionato
- Passare all'evento successivo e all'evento precedente nei risultati della selezione eventi
- Passare al dispositivo in cui si è verificato l'evento
- Passare al gruppo di amministrazione che include il dispositivo in cui si è verificato l'evento
- Per un evento correlato a un'attività, passare alle proprietà dell'attività
Esportazione degli eventi in un file
Per esportare gli eventi in un file:
- Avviare una selezione eventi.
- Selezionare la casella di controllo accanto all'evento desiderato.
- Fare clic sul pulsante Esporta in un file.
L'evento selezionato verrà esportato in un file.
Visualizzazione della cronologia di un oggetto da un evento
Da un evento di creazione o di modifica di un oggetto che supporta la gestione delle revisioni, è possibile passare alla cronologia delle revisioni dell'oggetto.
Per visualizzare la cronologia di un oggetto da un evento:
- Avviare una selezione eventi.
- Selezionare la casella di controllo accanto all'evento desiderato.
- Fare clic sul pulsante Cronologia revisioni.
Verrà aperta la cronologia delle revisioni dell'oggetto.
Eliminazione di eventi
Per eliminare uno o più eventi:
- Avviare una selezione eventi.
- Selezionare le caselle di controllo accanto agli eventi desiderati.
- Fare clic sul pulsante Elimina.
Gli eventi selezionati verranno eliminati e non potranno essere ripristinati.
Eliminazione di selezioni eventi
È possibile eliminare solo le selezioni eventi definite dall'utente. Le selezioni eventi predefinite non possono essere eliminate.
Per eliminare una o più selezioni eventi:
- Nel menu principale accedere a Monitoraggio e generazione dei rapporti → Selezioni eventi.
- Selezionare le caselle di controllo accanto alle selezioni eventi che si desidera eliminare.
- Fare clic su Elimina.
- Nella finestra visualizzata fare clic su OK.
La selezione eventi verrà eliminata.
Impostazione del periodo di archiviazione per un evento
Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server. Potrebbe essere necessario archiviare alcuni eventi per un periodo più o meno lungo di quanto specificato dai valori predefiniti. È possibile modificare le impostazioni predefinite del periodo di archiviazione per un evento.
Se non si è interessati all'archiviazione di alcuni eventi nel database di Administration Server, è possibile disabilitare l'impostazione appropriata nel criterio di Administration Server e nel criterio dell'applicazione Kaspersky o nelle proprietà di Administration Server (solo per gli eventi di Administration Server). Ciò consentirà di ridurre il numero dei tipi di eventi nel database.
Più lungo è il periodo di archiviazione per un evento, più velocemente il database raggiunge la capacità massima. Tuttavia, un periodo di archiviazione più lungo per un evento consente di eseguire le attività di monitoraggio e generazione dei rapporti per un periodo superiore.
Per impostare il periodo di archiviazione per un evento nel database di Administration Server:
- Nel menu principale accedere a Dispositivi → Criteri e profili.
- Eseguire una delle seguenti operazioni:
- Per configurare il periodo di archiviazione degli eventi di Network Agent o di un'applicazione Kaspersky gestita, fare clic sul nome del criterio corrispondente.
Verrà visualizzata la pagina delle proprietà del criterio.
- Per configurare gli eventi di Administration Server, nel menu principale fare clic sull'icona delle impostazioni (
) accanto al nome dell'Administration Server desiderato. Se si dispone di un criterio per Administration Server, è possibile fare clic sul nome di questo criterio.
Verrà visualizzata la pagina delle proprietà di Administration Server (o la pagina delle proprietà del criterio di Administration Server).
- Per configurare il periodo di archiviazione degli eventi di Network Agent o di un'applicazione Kaspersky gestita, fare clic sul nome del criterio corrispondente.
- Selezionare la scheda Configurazione eventi.
Verrà visualizzato un elenco dei tipi di eventi correlati alla sezione Critico.
- Selezionare la sezione Errore funzionale, Avviso o Informazioni.
- Nell'elenco dei tipi di eventi nel riquadro destro fare clic sul collegamento per l'evento di cui si desidera modificare il periodo di archiviazione.
Nella sezione Registrazione eventi della finestra visualizzata l'opzione Archivia nel database di Administration Server per (giorni) è abilitata.
- Nella casella di modifica sotto questo interruttore inserire il numero di giorni per l'archiviazione dell'evento.
- Se non si desidera archiviare un evento nel database di Administration Server, disabilitare l'opzione Archivia nel database di Administration Server per (giorni).
Se si configurano gli eventi di Administration Server nella finestra delle proprietà di Administration Server e se le impostazioni degli eventi sono bloccate nel criterio di Kaspersky Security Center Administration Server, non è possibile ridefinire il valore del periodo di archiviazione per un evento.
- Fare clic su OK.
La finestra delle proprietà del criterio verrà chiusa.
Da questo momento, quando Administration Server riceve e archivia gli eventi del tipo selezionato, questi avranno il periodo di archiviazione modificato. Administration Server non modifica il periodo di archiviazione degli eventi ricevuti in precedenza.
Inizio paginaBlocco degli eventi frequenti
Questa sezione fornisce informazioni sulla gestione del blocco degli eventi frequenti e sulla rimozione del blocco degli eventi frequenti.
Informazioni sul blocco degli eventi frequenti
Un'applicazione gestita, ad esempio Kaspersky Endpoint Security for Linux, installata in uno o più dispositivi gestiti può inviare molti eventi dello stesso tipo ad Administration Server. La ricezione di eventi frequenti può sovraccaricare il database di Administration Server e sovrascrivere altri eventi. Administration Server inizia a bloccare gli eventi più frequenti quando il numero di tutti gli eventi ricevuti supera il limite specificato per il database.
Administration Server blocca la ricezione automatica degli eventi frequenti. Non è possibile bloccare autonomamente gli eventi frequenti o scegliere quali eventi bloccare.
Se si desidera scoprire se un evento è bloccato, è possibile visualizzare l'elenco delle notifiche o controllare se questo evento è presente nella sezione Blocco degli eventi frequenti delle proprietà di Administration Server. Se l'evento è bloccato, è possibile eseguire le seguenti operazioni:
- Se si desidera impedire la sovrascrittura del database, è possibile continuare a bloccare la ricezione di questo tipo di eventi.
- Se ad esempio si desidera individuare il motivo dell'invio degli eventi frequenti ad Administration Server, è possibile sbloccare gli eventi frequenti e continuare a ricevere comunque gli eventi di questo tipo.
- Se si desidera continuare a ricevere gli eventi frequenti finché non vengono nuovamente bloccati, è possibile rimuovere dal blocco gli eventi frequenti.
Gestione del blocco degli eventi frequenti
Administration Server blocca la ricezione automatica degli eventi frequenti, ma è possibile sbloccare e continuare a ricevere gli eventi frequenti. È inoltre possibile bloccare la ricezione degli eventi frequenti sbloccati in precedenza.
Per gestire il blocco degli eventi frequenti:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Generale selezionare la sezione Blocco degli eventi frequenti.
- Nella sezione Blocco degli eventi frequenti:
- Se si desidera sbloccare la ricezione degli eventi frequenti:
- Selezionare gli eventi frequenti che si desidera sbloccare e fare clic sul pulsante Escludi.
- Fare clic sul pulsante Salva.
- Se si desidera bloccare la ricezione degli eventi frequenti:
- Selezionare gli eventi frequenti che si desidera bloccare e fare clic sul pulsante Blocca.
- Fare clic sul pulsante Salva.
- Se si desidera sbloccare la ricezione degli eventi frequenti:
Administration Server riceve gli eventi frequenti sbloccati e non riceve gli eventi frequenti bloccati.
Inizio paginaRimozione del blocco degli eventi frequenti
È possibile rimuovere il blocco per gli eventi frequenti e iniziare a riceverli fino a quando Administration Server bloccherà nuovamente questi eventi frequenti.
Per rimuovere il blocco per gli eventi frequenti:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Generale, selezionare la sezione Blocco degli eventi frequenti.
- Nella sezione Blocco degli eventi frequenti selezionare i tipi di eventi frequenti per i quali si desidera rimuovere il blocco.
- Fare clic sul pulsante Rimuovi il blocco.
L'evento frequente viene rimosso dall'elenco degli eventi frequenti. Administration Server riceverà gli eventi di questo tipo.
Inizio paginaElaborazione e archiviazione di eventi in Administration Server
Le informazioni sugli eventi che si verificano durante l'esecuzione dell'applicazione e dei dispositivi gestiti vengono salvate nel database di Administration Server. A ogni evento è attribuito un determinato tipo e un livello di criticità (Evento critico, Errore funzionale, Avviso o informazioni). A seconda delle condizioni in cui si è verificato un evento, l'applicazione può assegnare diversi livelli di criticità a eventi dello stesso tipo.
È possibile visualizzare i tipi e i livelli di criticità assegnati agli eventi nella sezione Configurazione eventi della finestra delle proprietà di Administration Server. Nella sezione Configurazione eventi è anche possibile configurare l'elaborazione di ogni evento da parte di Administration Server:
- Registrazione degli eventi in Administration Server e nei registri eventi del sistema operativo in un dispositivo e in Administration Server.
- Metodo utilizzato per notificare un evento all'amministratore (ad esempio, un SMS o un messaggio e-mail).
Nella sezione Archivio eventi della finestra delle proprietà di Administration Server è possibile modificare le impostazioni per l'archiviazione degli eventi nel database di Administration Server, limitando il numero di record degli eventi e il periodo di archiviazione dei record. Quando si specifica il numero massimo di eventi, l'applicazione calcola approssimativamente la quantità di spazio di archiviazione necessario per il numero specificato. È possibile utilizzare questo calcolo approssimativo per valutare se è necessario liberare spazio su disco per evitare l'overflow del database. La capacità predefinita del database di Administration Server è di 400.000 eventi. La capacità massima consigliata del database è di 45 milioni di eventi.
L'applicazione controlla il database ogni 10 minuti. Se il numero di eventi raggiunge il valore massimo specificato più 10.000, l'applicazione elimina gli eventi meno recenti in modo che rimanga solo il numero massimo di eventi specificato.
Quando l'Administration Server elimina gli eventi meno recenti, non può salvare i nuovi eventi nel database. Durante questo periodo, le informazioni sugli eventi rifiutati vengono scritte nel registro del sistema operativo. I nuovi eventi vengono accodati e quindi salvati nel database al termine dell'operazione di eliminazione. Per impostazione predefinita, la coda degli eventi è limitata a 20.000 eventi. È possibile personalizzare il limite della coda modificando il valore del contrassegno KLEVP_MAX_POSTPONED_CNT.
Inizio pagina