Сбор трассировки с ротацией на KSV LA 5.2 for Windows.

[Demiad]

При необходимости записи трассировок KSV LA 5.2 для Windows с ротацией файлов можно использовать следующий простой сценарий.

! Сценарий следует использовать только при невозможности сбора трассировок обычным способом, например, когда необходимо длительно ожидать проявления проблемы. Согласуйте данный сценарий с технической поддержкой Лаборатории Касперского.

Сценарий:

1. Скачайте и распакуйте архив KSVLA5_TRACE.zip в каталог c:\KSVLA5_TRACE из статьи про сбор трассировок.

2. Создайте в этом же каталоге batch-файл с содержимым:

reg import c:\KSVLA5_TRACE\Trace_OFF_x64.reg
"%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security for Virtualization 5.2 Light Agent\avp.com" EXIT /login:KLAdmin /password:123
timeout /t 10
net stop klnagent
timeout /t 10

del /Q "%ProgramData%\Kaspersky Lab\*.log"
del /Q "C:\KSVLA5_TRACE\*.log"

:start
reg import c:\KSVLA5_TRACE\Trace_ON_x64.reg
net start klnagent
timeout /t 20
net start avp
timeout /t 65

reg import c:\KSVLA5_TRACE\Trace_OFF_x64.reg
"%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky Security for Virtualization 5.2 Light Agent\avp.com" EXIT /login:KLAdmin /password:123
timeout /t 10
net stop klnagent
timeout /t 10

del /Q "C:\KSVLA5_TRACE\*.log"
move /y "%ProgramData%\Kaspersky Lab\*.log" "C:\KSVLA5_TRACE" 
goto :start

3. Скопируйте текущие политики KSV LA и Агента администрирования и назначьте их только на проблемное устройство. Временно отключите в новой политике:

• для KSV LA: самозащиту и установите пароль на защиту управления;
• защиту службы Агента администрирования.

Не отключайте параметры в общих политиках для всех управляемых устройств, это снизит уровень защиты на всех управляемых устройствах.

4. Измените содержимое скрипта с учетом заданного пароля управления KSV LA, путей его установки и указанных reg-файлов для определенной разрядности ОС.

5 Запустите batch-файл с повышением прав до Администратора через контекстное меню файла или из командной строки.

! Оцените скорость роста log-файлов в папке "%ProgramData%\Kaspersky Lab". По умолчанию в скрипте задана запись в 1800 секунд (30 минут). Плюс следующий проход записывает еще столько же данных. Рекомендуется изменить объем всех log-файлов в папке через 10 минут, затем умножить значение на шесть и рассчитать достаточно ли свободного места на диске для хранения данного объема информации. Если исследуемая проблема перестанет проявляться, возможно, она имеет накопительный эффект и перезапуск KSV LA и Агента администрирования при работе скрипта устраняет ее проявление. В таком случае рассчитайте необходимый объем дискового пространства и по возможности увеличьте временной промежуток перезапуска трассировки.

Нажимать "любую клавишу для продолжения" во время выполнения скрипта не следует, так реализованы паузы между командами.

 

6. Воспроизведите проблемный сценарий или ожидайте его проявления.

7. Остановите выполнение batch-файла через CTRL+C в окне терминала.

8. Выключите сбор трассировки командой:

reg import c:\KSVLA5_TRACE\Trace_OFF_x64.reg

9. Скопируйте log-файлы трассировок из каталогов:

• %ProgramData%\Kaspersky Lab
• C:\KSVLA5_TRACE

Предоставьте собранные данные в техническую поддержку Лаборатории Касперского вместе с другими запрошенными от вас данными.

10. Верните устройство под общую политику или включите обратно в текущих политиках все защитные механизмы.

Пример работы скрипта: