Странный инцидент! Пропало событие из журнала.

[Виктор Долганов]

Получаю на почту уведомление о событии:

DB1 [20 декабря 2022 г. 12:01:52 (GMT+05:00)] (Защита): Тип события: Ввод имени пользователя и пароля
Название: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.11.11.0
ID процесса: 18446744073709551615
Пользователь: "юзеры здесь" - KLAdmin (Активный пользователь)
Компонент: Защита
Объект: Завершение работы приложения
Описание результата: Неуспешный ввод

Захожу через консоль на сервере администрирования. Вижу это событие в журнале.
Пока лазил по другим разделам -  событие исчезло из журнала. Как это назвать?
Вход на сервер администрирования в журнале только мой. Больше никто не входил.

[Goddeimos13]

По-моему тут только 2 варианта:

1. Событие удалили.

2. Событие удалилось.

Возможно база переполнилась и произошла чистка, возможно кто-то ещё имеет доступ и удалил событие, возможно время жизни события стоит 1 день и оно вышло.

[Виктор Долганов]

Как видите событие было: DB1 [20 декабря 2022 г. 12:01:52 (GMT+05:00)] 
Мой вход на сервер: Сервер администрирования <DB2> [20 декабря 2022 г. 12:09:13 (GMT+05:00)]
События приходят мне на почту.

Это событие username and password input? Посмотрел в политике, стоит режим: не хранить.
Такое значение по-умолчанию делается?

Если по-умолчанию такое событие не хранится, то - это круто.
Если кто-то так сделал - это другой вопрос.
Кроме того из информации в событии никак не понять, какой именно пользователь пытался ввести пароль и отключить защиту.

[Aftalik]

3 минуты назад, Виктор Долганов сказал:

Если по-умолчанию такое событие не хранится, то - это круто.
Если кто-то так сделал - это другой вопрос.
Кроме того из информации в событии никак не понять, какой именно пользователь пытался ввести пароль и отключить защиту.

добавьте %COMPUTER% в отправляемое письмо с уведомлением.

[Goddeimos13]

1 час назад, Виктор Долганов сказал:

Это событие username and password input? Посмотрел в политике, стоит режим: не хранить.
Такое значение по-умолчанию делается?

Да, это событие называется "User name and password input".

Не знаю стоит-ли значение "Не хранить" по умолчанию. Проверьте сами создав новую политику.

И если стоит галочка хранить в событиях на самом устройстве. То можете поискать ещё его там.

В моём случае настройки данного события:

1 час назад, Виктор Долганов сказал:

Кроме того из информации в событии никак не понять, какой именно пользователь пытался ввести пароль и отключить защиту.

Всё понятно. В событии пишется учётная запись под которой была попытка ввода пароля. Сами же прикладывали:

"Пользователь: "юзеры здесь" - KLAdmin (Активный пользователь)"

[Виктор Долганов]

1 час назад, Aftalik сказал:

добавьте %COMPUTER% в отправляемое письмо с уведомлением.

Компьютер то известен. Пользователь не известен. Там их несколько.

1 час назад, Goddeimos13 сказал:

Всё понятно. В событии пишется учётная запись под которой была попытка ввода пароля. Сами же прикладывали:

"Пользователь: "юзеры здесь" - KLAdmin (Активный пользователь)"

их там несколько, да и то не все. три точки после 4 штук.

1 час назад, Goddeimos13 сказал:

Да, это событие называется "User name and password input".

Не знаю стоит-ли значение "Не хранить" по умолчанию. Проверьте сами создав новую политику.

И если стоит галочка хранить в событиях на самом устройстве. То можете поискать ещё его там.

В моём случае настройки данного события:

Да, по-умолчанию стоит не хранить. И это не есть хорошо.