Jump to content

Recommended Posts

Открываем политику KES 10. "Оповещение о событиях". 

Так вот, к примеру, есть две Политики, у которых для одного и того же события: хранить на СА стоит 10 дней и 30 дней, а для другого события 30 и 10 дней соответственно и т.д. Вообщем разное время. А так же стоит ограничение на общее количество событий. 
И еще усложним: через 5 дней компьютер был под одной политикой, а потом был перемещен в другую.

Как будет происходит очистка базы событий (по лимиту всех событий и по количеству дней)?

 

Share this post


Link to post
2 hours ago, Black Dragon said:

Открываем политику KES 10. "Оповещение о событиях". 

Так вот, к примеру, есть две Политики, у которых для одного и того же события: хранить на СА стоит 10 дней и 30 дней, а для другого события 30 и 10 дней соответственно и т.д. Вообщем разное время. А так же стоит ограничение на общее количество событий. 
И еще усложним: через 5 дней компьютер был под одной политикой, а потом был перемещен в другую.

Как будет происходит очистка базы событий (по лимиту всех событий и по количеству дней)?

 

Добрый день.

Дата генерации событий периодически сверяется с пороговым значением на основе указанного количества дней, после чего не подходящие по критерию события удаляются.

Общее количество событий периодически сверяется с указанным максимальным количеством; лишние события удаляются блоками. Поэтому в каждый момент времени общее число событий может незначительно превышать или не доходить до порогового.

Спасибо.

Share this post


Link to post
13 часов назад, Kirill Tsapovsky сказал:

Дата генерации событий периодически сверяется с пороговым значением на основе указанного количества дней

Две политики и для одного и того же события стоит разное количество дней.

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, как отрабатывает данный сценарий у Вас?

Спасибо!

Share this post


Link to post
10 часов назад, Ivan.Ponomarev сказал:

Уточните пожалуйста, как отрабатывает данный сценарий у Вас?

Не в курсе. Просто хочу немного понять как примерно это работает.

Навожу порядок в настройках хранения событий. А то ваш web-фильтр КЕС-а обматерил Гугл и разные мессенджеры "Доступ запрещен из-за: Нецензурной лексикой" (которое было включено в блокировке веб-контроля) и за пол дня нагенерил 630тыс событий (с 3-4 компов), что вынесло весь!!! журнал на сервере (где количество хранимых событий 700тыс).

По этому, мне кажется, что не правильно как-то, что в политике (которых может быть несколько) конкретного антивируса задаются настройки хранения событий сервера.
Мне кажется, что в политике должно быть указано только Место хранения, а вот по Месту должно быть свои настройки как хранить.

И еще мне кажется, что количественные ограничения должны быть на каждое конкретное событие и на отдельный компьютер.

Share this post


Link to post

Сроки хранения отдельных типов событий зависят от настроек политики и проверяются для хоста. Удаляются события, для которых истек срок хранения.

Общее количество событий проверяется для сервера (и настройки максимального количества событий указывается в свойствах сервера), ротации подвергаются наиболее старые события.

Спасибо.

Share this post


Link to post

Как обезопасится от большого спама кого-то события?

Share this post


Link to post

Здравствуйте!

Вы можете отключить данное событие или ограничить время его хранения.

Спасибо!

Share this post


Link to post
34 минуты назад, Konstantin Antonov сказал:

отключить данное событие

Ну вот надо знать, что KES заблокировал, отключать? Может что-то другое важное, я же не могу предвидеть сюрпризы... Может всё отключить?

35 минут назад, Konstantin Antonov сказал:

ограничить время его хранения

Сколько? 15 минут?

<record>
<field value="GNRL_EV_WEB_URL_BLOCKED" name="event_type"/>
<field value="Доступ запрещен" name="event_type_display_name"/>
<field value="4" name="severity"/>
<field value="632056" name="cnt"/>
<field value="0" name="is_need_send"/>
<field value="2018-05-28T12:24:11Z" name="min_time"/>
<field value="2018-05-29T08:25:42Z" name="max_time"/>
</record>

 

Share this post


Link to post

 

5 часов назад, Black Dragon сказал:

"Доступ запрещен из-за: Нецензурной лексикой" (которое было включено в блокировке веб-контроля) и за пол дня нагенерил 630тыс событий (с 3-4 компов),

Такое поведение возникло после активации нового правила или возникло без причин?

Спасибо!

Share this post


Link to post
7 минут назад, Konstantin Antonov сказал:

Такое поведение возникло после активации нового правила или возникло без причин?

Правило не менялось, но из-за этого пришлось поотключать часть пунктов в правиле...
Потом было удаление всех событий. И под конце рабочего дня с этих компов продолжали сыпаться вот эти события, которые срабатывали в обед (по дате самого события), т.е. Сервер не успевал их принимать. Да и в журнале ОС так же куча событий по очистке базы событий KSC "Началось удаление 716041 событий из базы данных, так как превышено ограничение 700000 событий"

Вот основные злыдни:

Запрашиваемый веб-адрес:     https://clients1.google.com:443
Результат\Решение:     Запрещено
Правило\Название правила:     Блокировка опасного контента
Правило\Категории содержания:     Нецензурная лексика
Правило\Источники категорий содержания:     Эвристический анализ
Правило\Учетная запись:     ANY
Правило\Маска адреса:     *

Запрашиваемый веб-адрес:     https://api.ic2ster.com:443
Результат\Решение:     Запрещено
Правило\Название правила:     Блокировка опасного контента
Правило\Категории содержания:     Нецензурная лексика
Правило\Источники категорий содержания:     Эвристический анализ
Правило\Учетная запись:     ANY
Правило\Маска адреса:     *

Запрашиваемый веб-адрес:     https://api.icq.net:443
Результат\Решение:     Запрещено
Правило\Название правила:     Блокировка опасного контента
Правило\Категории содержания:     Нецензурная лексика
Правило\Источники категорий содержания:     Эвристический анализ
Правило\Учетная запись:     ANY
Правило\Маска адреса:     *

Бывают случая зараженных флешек или дисков, при полной проверки которых тоже куча событий.

Edited by Black Dragon

Share this post


Link to post

Срабатывание правила возникло без причин? В какое примерно время началось воспроизведение?

Спасибо!

Share this post


Link to post
22 минуты назад, Konstantin Antonov сказал:

Срабатывание правила возникло без причин? В какое примерно время началось воспроизведение?

Не скажу, случайно заметил эту проблему.

Share this post


Link to post

Здравствуйте!

По возможности уточните пожалуйста условия появления проблемы. 

Спасибо!

Share this post


Link to post

Вы про какую проблему спрашиваете? Эвристический анализатор или хранения событий?

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.