Jump to content
Sign in to follow this  
it-operater

KS10 Server - Eventlog Einträge

Recommended Posts

Hallo,

 

im Einsatz sind folgende Produkte:

 

Kaspersky Security Center 10.2.434

Kaspersky Security Center Administrationagent 10.2.434

Kaspersky Security 10 Windows Server 10.0.0.486

 

Es geht um zwei verschiedene Probleme.

 

Erstens:

Im Eventlog System mit der Quelle "KLIF" jedes Windows Servers mit installierter KS10 wird in der Zeit in der das Backup mit der Software DataProtector läuft, ein Error mit EventID 5 geschrieben.

"Volume ID of the volume '\Device\HarddiskVolumeShadowCopyXX' is already in use. iSwift and Section Verdict Cache will not apply to this volume."

Die DataProtector Software greift über einen Agent auf die VSS des Servers während dem Backup zu.

Meine Interpretation ist, dass Kaspersky in der Backup-Zeit nicht darauf zugreifen kann und deshalb diesen Fehler generiert.

Logische Lösung ist wohl die iSwift Technologie deaktivieren, was ich nicht möchte, da es laut Anleitung dann zu Performanceeinbußen kommen kann oder die DataProtector Software umbauen, was ich auch nicht möchte.

Wie bekomme ich den Eintrag im Eventlog weg? Müsste ja wirklich zu ignorieren sein der Fehler.

Gibt es die Möglichkeit wie in der Endpoint Security den Echtzeitschutz zu pausieren, wenn "Programm XY" läuft? Oder kann ich das Logging beeinflussen?

 

Zweitens:

Wie kann ich das lokale Protokollieren der Events per Richtlinie beeinflussen?

In der Endpoint Security kann ich viele Einstellungen für alle möglichen Events einstellen, damit nicht zu viel/zu wenig geloggt wird.

Wie geht das in der Kaspersky Security für Server? Am besten natürlich per Richtlinie.

Hintergrund ist, dass im Eventlog Kaspersky Security mit der Quelle "SystemAudit" täglich folgendes Warning mit Event ID 6755 kommt:

"Die letzte Untersuchung wichtige Bereiche des Computers ist lange her."

Über die Richtlinie kann ich weder den Task für die Untersuchung wichtiger Bereiche konfigurieren, noch das Logging dazu verändern.

 

Besten Dank

Edited by Marius Neumann

Share this post


Link to post

Hi Marius Neumann,

 

ich empfehle Dir Dich vertrauensvoll an unseren Support zu wenden - dieser kann Dir eventuell mit einem Patch für den KSWS weiterhelfen.

 

Gruß,

dawinci

Share this post


Link to post
Hi Marius Neumann,

 

ich empfehle Dir Dich vertrauensvoll an unseren Support zu wenden - dieser kann Dir eventuell mit einem Patch für den KSWS weiterhelfen.

 

Gruß,

dawinci

 

Hab ein Ticket aufgemacht.

 

 

Share this post


Link to post

Zu erstens:

 

Antwort des Supports:

This event can be simply ignored, despite the fact that its severity is "Errror".

Event states that for "ShadowCopy" tome iSwift technology (cache of verdicts) will not be used.

 

Our driver even in previous versions had no ability to apply iSwift technology on ShadowCopy tomes, the same behavior is in the current version.

In the current version list of published events has been updated, and such an event is published, however developers states that severity "Error" is too high.

In the next releases of WSEE event severity will be much lower.

 

There are no changes in klif.sys from WSEE 8 to KSWS 10 regarding to interaction with VSS.

Mentioned event does relate to issue with VSS service. It means that klif.sys did not store its iSwift databases on that volume.

 

This is not an error. It means that klif.sys driver didn't place its iSwift database on this volume. It does not affect VSS service. It will be redesigned in the nearest patch. Current message can be ignored in new build severity of this event will be changed to "information".

Share this post


Link to post

Hallo Marius,

 

hast du schon Neuigkeiten vom Support erhalten?

Bei uns erscheint auf sämtlichen Servern die gleiche Fehlermeldung, sobald das Backup beginnt.

In erster Linie könnte man zwar sagen, ok man ignoriert die Meldung.

Aber das spamt jetzt auch unser Monitoring voll, da ich jeden Tag die Meldungen von sämtlichen Servern erhalte.

 

Ich hoffe, da wird bald ein Lösungsvorschlag bzw ein Patch erscheinen, oder hast du bereits etwas Neues?

 

BG René

Share this post


Link to post
...Ich hoffe, da wird bald ein Lösungsvorschlag bzw ein Patch erscheinen, oder hast du bereits etwas Neues?

 

Hallo René,

 

welches Patchlevel haben deine KS10 WS Installationen?

Aktuell ist CF ProductCore 8 und CF AntiCryptor 8, siehe https://forum.kaspersky.com/index.php?showtopic=357159

 

Beide Patches müssen beim Support angefordert werden.

 

Grüße

Alex

Share this post


Link to post

Hallo Alex, hallo Marius

 

wir hatten noch gar kein Patchlevel, da ich erstmals diese Version auf den Servern installiert habe und uns das am ersten Tag aufgefallen ist.

(Mein Vorgänger hatte vorher KES 10 auf den Servern laufen)

Habe jetzt direkt auf den Core 8 Patch gewartet. (Angefragt beim Support)

 

Nach der Installation scheint der Fehler behoben zu sein.

 

Vielen Dank!

 

BG René

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.