Перейти к содержанию

Формирование пустых отчетов KSC 10


Игорь Гержод

Рекомендуемые сообщения

Доброго времени суток! Прошу направить на путь решения данной проблемы.

Формируются пустые отчеты об угрозах. На определенных рабочих станциях обнаружены вирусы, удалены или вылечены, отчет по прежнему пуст.

 

Версия KSC 10.5.1781 патч А

Версия Агентов администрирования 10.5.1781 патч А

Версия Защиты 10.3.0.6294

post-55573-0-19130500-1567668517_thumb.jpg

Изменено пользователем Игорь Гержод
Ссылка на комментарий
Поделиться на другие сайты

@Игорь Гержод,  а в событиях аудита нет, что данное событие удалено?

В настройках политики сохраняется это событие? Какое время хранится? Хранилище событий не переполнилось, что удаляются последние сообщения?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

@Игорь Гержод,  а в событиях аудита нет, что данное событие удалено?

В настройках политики сохраняется это событие? Какое время хранится? Хранилище событий не переполнилось, что удаляются последние сообщения?

В событиях аудита нет, так как я ограничил доступ к серверу, всего 1 администратор, у остальных только права на просмотр.

В настройках политики выставлены следующие настройки: Хранить не более 90 дней, Максимальный размер 2000 МБ, галочки везде проставлены.

Где я могу посмотреть хранилище событий?

Ссылка на комментарий
Поделиться на другие сайты

В свойствах KSC - хранилище событий.

И посмотрите отчёт по всем событиям: за какой срок хранятся самые последние имеющиеся события

Максимальное количество событий 4 000 000.

В отчете по событиям: всего 22731.Последнее зарегистрированное событие 5 сентября 2019 г.

Примерно из всех событий, такого события как атака, вирус, угроза - нет.

Ссылка на комментарий
Поделиться на другие сайты

@Игорь Гержод, тогда, предполагаю, что замочек не закрыт  в свойствах политики на хранение таких событий.

Кстати, локально на компе в отчёте присутствуют записи?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

@Игорь Гержод, тогда, предполагаю, что замочек не закрыт  в свойствах политики на хранение таких событий.

Кстати, локально на компе в отчёте присутствуют записи?

Замочки проставлены везде где они только есть....

ссылка на картинку - https://ibb.co/Jxbt3Lm

Локально на сервере, в KSC при формировании отчетов тоже самое.

Ссылка на комментарий
Поделиться на другие сайты

Не.

В политике есть два места настройки событий:

Настройка событий - там настраиваются события для хранения на самом ksc.

Скриншот твой - это хранение локальное и уведомления.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Не.

В политике есть два места настройки событий:

Настройка событий - там настраиваются события для хранения на самом ksc.

Скриншот твой - это хранение локальное и уведомления.

В политике "Настройка событий" выставлены параметры - 90 дней, и галочки стоят, хранить события на сервере ksc и локально.

 

Приняли решение о переустановке САЗ и SQL на сервере...

Тему можно закрывать, спасибо за обсуждение!

Ссылка на комментарий
Поделиться на другие сайты

@Игорь Гержод,  эээ... Вы хоть сертификат сохраните сервера. Чтобы заново не переустанавливать агента на всех устройствах.


И бэкап на всякий случай

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

  • 11 months later...

Добрый день.

 Подскажите, в каком направлении двигаться, у нас следующая ситуация: при обнаружении вируса на компьютере, в дереве KES папка "Резервное хранилище" вирусы отразились и в отчете об угрозах то-же, но спустя две недели в отчете все пропало. Как предположение м.б. хранилище событий переполнилось, т.к. максимальное количество установлено 400000, а число хранящихся событий 410503, либо проблема в другом? Увеличил размер хранилища событий, все равно отчет пуст, а в папке "Резервное хранилище" вирусы присутствуют. Вопрос - как то можно что-то сделать чтобы отчет показал эти события, либо отчет реагирует на возникшее событие и если отчет при переполнении затерся то уже все. 
KSC 11.0.0.1131, компьютеры KES 11.1.1.126

Ссылка на комментарий
Поделиться на другие сайты

Да, в политике KES 30 дней, Вопрос в том, что и на самом компьютере вирусы отражены и в "Резервном хранилище" KSC видны, а вот если сформировать отчет об угрозах в KSC там чисто, хотя три дня назад все отражалось и отражалось две недели.
 
 

Ссылка на комментарий
Поделиться на другие сайты

24 минуты назад, Вячеслав Б. сказал:

Да, в политике KES 30 дней, Вопрос в том, что и на самом компьютере вирусы отражены и в "Резервном хранилище" KSC видны, а вот если сформировать отчет об угрозах в KSC там чисто, хотя три дня назад все отражалось и отражалось две недели.
 
 

Патч b стоит на ксц?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Дмитро
      От Дмитро
      KSC 14.2 из-под win настроена политика для пользовательских машин и в ней для сетевого экрана добавлено правило, в котором идет запись в отчет.
      По факту нужно отследить отработку это правила из под отчета.
      Какой корректно выбрать отчет (ну или построить свой), где возможно было увидеть статистику по добавленному правилу сетевого экрана?
      облазил офф документации но ясности нет а ждать ответа неимоверно долго
    • ZOLkinA
      От ZOLkinA
      Друзья, выручайте!
      имеется три политики (1,2,3).и две группы управляемых устройств (1,2)
      Все три активны. Все три НЕ имеют наследия.
      1 политика -для автономных АРМ.
      2 политика -для группы 2
      3 политика -для группы 3
      Вопрос: Как сделать что бы изменения вносимые по контролю устройств в политику 1,автоматически передавались в политику 2 и 3?
       
       
    • tav
      От tav
      Всех приветствую !
       
      Поднял пока что тестовый KSC последний на Alt Linux.
      Версия KSC Linux PF 15.1.0.12199 и версия KESL PF 12.1.0.1543.
      В настройках политики установил распространять ключ через KSC и на самой лицензии галка стоит.
      Клиент работает не в режиме легкого агента.
       
      В итоге клиент виндовый подхватывает ключ с сервера KSC, клиент линуксовый при установке автоматом ставит тестовую/пробную лицензию и ни как не хочет цеплять автоматом лицензию.
      Если я создаю задачу для линуксовой группы/клиента сменить ключ, то все ок клиенты по задаче меняют ключ тестовый на корпоративный.
      Не понимаю почему именно линуксовые клиенты автоматом не тащат ключ. Настройки как я понимаю правильные.


    • pacificae
      От pacificae
      Доброго времени. Исходные данные - на клиентском ПК отключил вручную защиту KES бессрочно. Вопрос - можно ли через KSC (в моем случае 13) включить защиту удалённо?
    • website9527633
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
×
×
  • Создать...