Jump to content
Sign in to follow this  
Ufolog73

Журнал безопасности Win Serv 2012 события от Касперского

Recommended Posts

Столкнулись с проблемой большого количества событий от Касперского в журнале безопасности Windows Server.

Итак, имеем Windows Server 2012 R2 (файлопомойка) на нём установлен Kaspersky Security для Windows Server версия 10.0.0.486 работает под политикой раздаваемой сервером KSC 10. Понадобилось настроить аудит удалённых файлов на нашей файлопомойки в несколько Терабайт , скрипт берёт инфу с лога журнала безопасности Windows, но так как там больше половины событий от Касперского, журнал просто гигантский, скрипту от этого плохо. События разного характера ,но большинство от klnagent.exe и kavfs.exe, внимание вопрос как уменьшить количество событий от каспера в логах журнала безопасности винды или совсем отключить их логировние там?

Share this post


Link to post
8 minutes ago, Ufolog73 said:

Столкнулись с проблемой большого количества событий от Касперского в журнале безопасности Windows Server.

Итак, имеем Windows Server 2012 R2 (файлопомойка) на нём установлен Kaspersky Security для Windows Server версия 10.0.0.486 работает под политикой раздаваемой сервером KSC 10. Понадобилось настроить аудит удалённых файлов на нашей файлопомойки в несколько Терабайт , скрипт берёт инфу с лога журнала безопасности Windows, но так как там больше половины событий от Касперского, журнал просто гигантский, скрипту от этого плохо. События разного характера ,но большинство от klnagent.exe и kavfs.exe, внимание вопрос как уменьшить количество событий от каспера в логах журнала безопасности винды или совсем отключить их логировние там?

Добрый день.

Настройки уведомления о событиях доступны в политике соответствующего продукта (для KSWS) и в свойствах сервера (для сервера/Сетевого агента), где сохранение в журнале событий Windows — одна из опций (для каждого типа событий включается независимо).

Однако если настройки для журнала Windows по умолчанию не изменялись, а события красного цвета (критические), предпочтительнее определить и устранить первопричину их появления. В этом случае скопируйте, пожалуйста, полный текст (описание) таких событий, либо сделайте скриншот с ними.

Спасибо.

Share this post


Link to post
Posted (edited)
48 минут назад, Kirill Tsapovsky сказал:

Добрый день.

Настройки уведомления о событиях доступны в политике соответствующего продукта (для KSWS) и в свойствах сервера (для сервера/Сетевого агента), где сохранение в журнале событий Windows — одна из опций (для каждого типа событий включается независимо).

 Однако если настройки для журнала Windows по умолчанию не изменялись, а события красного цвета (критические), предпочтительнее определить и устранить первопричину их появления. В этом случае скопируйте, пожалуйста, полный текст (описание) таких событий, либо сделайте скриншот с ними.

Спасибо.

Сейчас проверил и свойства самого сервера KSC и политику для данного продукта и политику для агента там нигде ни в одном событии не нашёл что бы стояла галка Регистрации событий - В журнале событий ОС на устройстве. 

Нет события не критические, скорее уведомления. 

Вот скриншоты событий из журнала Безопасности нужного нам сервера. + скрин свойств регистрации одного события из политики KSC (в остальных всё идентично).

 

 

 

 

 

 

18.jpg

17.jpg

16.jpg

15.jpg

12.jpg

Edited by Ufolog73

Share this post


Link to post

Добрый день,

То есть, Вы настроили сброс в Security EventLog полной информации об активности в системе, и теперь хотите, чтобы часть этой информации не показывалась? Так это надо не в наших продуктах настраивать, а в ОС.

 

Share this post


Link to post
1 час назад, Konstantin Antonov сказал:

Пришлите пожалуйста полный отчет GSI с Event логами.

Спасибо!

Отчёт готов

log_05_31_2018_13_22_36.zip

Share this post


Link to post
38 минут назад, Oleg Bykov сказал:

Добрый день,

То есть, Вы настроили сброс в Security EventLog полной информации об активности в системе, и теперь хотите, чтобы часть этой информации не показывалась? Так это надо не в наших продуктах настраивать, а в ОС.

 

В ОС я включил аудит только удалённых файлов. А вот почему в журнале безопасности системы много оповещений от продуктов Касперского это вопрос, ведь у каспера есть свой EventLog в системе.

Share this post


Link to post
44 минуты назад, Ufolog73 сказал:

В ОС я включил аудит только удалённых файлов. А вот почему в журнале безопасности системы много оповещений от продуктов Касперского это вопрос, ведь у каспера есть свой EventLog в системе.

Почему возникает такой вопрос? Продуктам Касперского нельзя удалять файлы в системе?

И при чём тут свой EventLog - события в журнал Security пишем не мы, а ОС.

Share this post


Link to post
16 часов назад, Konstantin Antonov сказал:

Экспорт активной политики пришлите пожалуйста.

Спасибо!

Политика

politic_ksws.klp

Share this post


Link to post
Posted (edited)

Ну как, есть новости как убрать события каспера  из журнала Security логов ОС ? Проблема так и не решилась. 

Edited by Ufolog73

Share this post


Link to post
1 час назад, Ufolog73 сказал:

Ну как, есть новости как убрать события каспера  из журнала Security логов ОС ? Проблема так и не решилась. 

Здравствуйте,

Поясните, пожалуйста, в чём проблема. Насколько я понял из Вашего описания, в журнале Security есть записи о том, что наш процесс удаляет какие-то файлы. Почему эти записи являются проблемой? Антивирус не должен удалять файлы в системе?

Share this post


Link to post

kavfs.exe

22 часа назад, Oleg Bykov сказал:

Здравствуйте,

Поясните, пожалуйста, в чём проблема. Насколько я понял из Вашего описания, в журнале Security есть записи о том, что наш процесс удаляет какие-то файлы. Почему эти записи являются проблемой? Антивирус не должен удалять файлы в системе?

Понятно, что может, но их просто тьма, из 80000 событий за неполные сутки (перемещение - удаление файлов) от Каспера больше половины в основном от процесса kavfs.exe

Share this post


Link to post
2 часа назад, Ufolog73 сказал:

kavfs.exe

Понятно, что может, но их просто тьма, из 80000 событий за неполные сутки (перемещение - удаление файлов) от Каспера больше половины в основном от процесса kavfs.exe

Те события, что Вы привели в качестве примера выше, говорят о том, что это связано с обновлением баз KSWS. Наверное, задача обновления сейчас запускается раз в час? Уменьшите период запуска до раз в три часа - событий станет в три раза меньше.

Share this post


Link to post
13 часов назад, Oleg Bykov сказал:

Те события, что Вы привели в качестве примера выше, говорят о том, что это связано с обновлением баз KSWS. Наверное, задача обновления сейчас запускается раз в час? Уменьшите период запуска до раз в три часа - событий станет в три раза меньше.

Спасибо, будем экспериментировать!

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.