Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Формирование пустых отчетов KSC 10

Игорь Гержод

Автор Игорь Гержод
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

Игорь Гержод Новичок

Игорь Гержод

Опубликовано
Опубликовано (изменено)

Доброго времени суток! Прошу направить на путь решения данной проблемы.

Формируются пустые отчеты об угрозах. На определенных рабочих станциях обнаружены вирусы, удалены или вылечены, отчет по прежнему пуст.

 

Версия KSC 10.5.1781 патч А

Версия Агентов администрирования 10.5.1781 патч А

Версия Защиты 10.3.0.6294

post-55573-0-19130500-1567668517_thumb.jpg

Изменено пользователем Игорь Гержод
Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

@Игорь Гержод,  а в событиях аудита нет, что данное событие удалено?

В настройках политики сохраняется это событие? Какое время хранится? Хранилище событий не переполнилось, что удаляются последние сообщения?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Игорь Гержод Новичок

Игорь Гержод

Опубликовано
  • Автор
Опубликовано
  В 05.09.2019 в 07:42, oit сказал:

@Игорь Гержод,  а в событиях аудита нет, что данное событие удалено?

В настройках политики сохраняется это событие? Какое время хранится? Хранилище событий не переполнилось, что удаляются последние сообщения?

В событиях аудита нет, так как я ограничил доступ к серверу, всего 1 администратор, у остальных только права на просмотр.

В настройках политики выставлены следующие настройки: Хранить не более 90 дней, Максимальный размер 2000 МБ, галочки везде проставлены.

Где я могу посмотреть хранилище событий?

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

В свойствах KSC - хранилище событий.

И посмотрите отчёт по всем событиям: за какой срок хранятся самые последние имеющиеся события

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Игорь Гержод Новичок

Игорь Гержод

Опубликовано
  • Автор
Опубликовано
  В 05.09.2019 в 08:36, oit сказал:

В свойствах KSC - хранилище событий.

И посмотрите отчёт по всем событиям: за какой срок хранятся самые последние имеющиеся события

Максимальное количество событий 4 000 000.

В отчете по событиям: всего 22731.Последнее зарегистрированное событие 5 сентября 2019 г.

Примерно из всех событий, такого события как атака, вирус, угроза - нет.

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

@Игорь Гержод, тогда, предполагаю, что замочек не закрыт  в свойствах политики на хранение таких событий.

Кстати, локально на компе в отчёте присутствуют записи?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Игорь Гержод Новичок

Игорь Гержод

Опубликовано
  • Автор
Опубликовано
  В 05.09.2019 в 10:08, oit сказал:

@Игорь Гержод, тогда, предполагаю, что замочек не закрыт  в свойствах политики на хранение таких событий.

Кстати, локально на компе в отчёте присутствуют записи?

Замочки проставлены везде где они только есть....

ссылка на картинку - https://ibb.co/Jxbt3Lm

Локально на сервере, в KSC при формировании отчетов тоже самое.

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

Не.

В политике есть два места настройки событий:

Настройка событий - там настраиваются события для хранения на самом ksc.

Скриншот твой - это хранение локальное и уведомления.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Игорь Гержод Новичок

Игорь Гержод

Опубликовано
  • Автор
Опубликовано
  В 05.09.2019 в 10:37, oit сказал:

Не.

В политике есть два места настройки событий:

Настройка событий - там настраиваются события для хранения на самом ksc.

Скриншот твой - это хранение локальное и уведомления.

В политике "Настройка событий" выставлены параметры - 90 дней, и галочки стоят, хранить события на сервере ksc и локально.

 

Приняли решение о переустановке САЗ и SQL на сервере...

Тему можно закрывать, спасибо за обсуждение!

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

@Игорь Гержод,  эээ... Вы хоть сертификат сохраните сервера. Чтобы заново не переустанавливать агента на всех устройствах.


И бэкап на всякий случай

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
  • 11 месяцев спустя...
Вячеслав Б. Новичок

Вячеслав Б.

Опубликовано
Опубликовано

Добрый день.

 Подскажите, в каком направлении двигаться, у нас следующая ситуация: при обнаружении вируса на компьютере, в дереве KES папка "Резервное хранилище" вирусы отразились и в отчете об угрозах то-же, но спустя две недели в отчете все пропало. Как предположение м.б. хранилище событий переполнилось, т.к. максимальное количество установлено 400000, а число хранящихся событий 410503, либо проблема в другом? Увеличил размер хранилища событий, все равно отчет пуст, а в папке "Резервное хранилище" вирусы присутствуют. Вопрос - как то можно что-то сделать чтобы отчет показал эти события, либо отчет реагирует на возникшее событие и если отчет при переполнении затерся то уже все. 
KSC 11.0.0.1131, компьютеры KES 11.1.1.126

Ссылка на комментарий
Поделиться на другие сайты
Вячеслав Б. Новичок

Вячеслав Б.

Опубликовано
Опубликовано

Да, в политике KES 30 дней, Вопрос в том, что и на самом компьютере вирусы отражены и в "Резервном хранилище" KSC видны, а вот если сформировать отчет об угрозах в KSC там чисто, хотя три дня назад все отражалось и отражалось две недели.
 
 

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано
  В 26.08.2020 в 12:12, Вячеслав Б. сказал:

Да, в политике KES 30 дней, Вопрос в том, что и на самом компьютере вирусы отражены и в "Резервном хранилище" KSC видны, а вот если сформировать отчет об угрозах в KSC там чисто, хотя три дня назад все отражалось и отражалось две недели.
 
 

Показать  

Патч b стоит на ксц?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Loc
      Отчет об инцидентах
      Автор Loc
      Добрый день.
       
      В Kaspersky Security Center 11 была возможность сформировать Отчет об инцидентах. Во вложении скриншот с отчетом. 
      Вопрос: Как сформировать такой отчет в Kaspersky Security Center 15.2? Среди готовых отчетов я его не нашел. Может он теперь называется по другому?
      Смотрел отчет об угрозах, но это не совсем то.
       

    • Дмитро
      Отчет в KSC по насторенному событию
      Автор Дмитро
      KSC 14.2 из-под win настроена политика для пользовательских машин и в ней для сетевого экрана добавлено правило, в котором идет запись в отчет.
      По факту нужно отследить отработку это правила из под отчета.
      Какой корректно выбрать отчет (ну или построить свой), где возможно было увидеть статистику по добавленному правилу сетевого экрана?
      облазил офф документации но ясности нет а ждать ответа неимоверно долго
    • Hendehog
      Расшифровка Отчета
      Автор Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
    • Анди25
      Замена сертификата на сервере ksc
      Автор Анди25
      День добрый,
       
      Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
      Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
       
      Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
      "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
    • ZOLkinA
      Наследование политик KSC
      Автор ZOLkinA
      Друзья, выручайте!
      имеется три политики (1,2,3).и две группы управляемых устройств (1,2)
      Все три активны. Все три НЕ имеют наследия.
      1 политика -для автономных АРМ.
      2 политика -для группы 2
      3 политика -для группы 3
      Вопрос: Как сделать что бы изменения вносимые по контролю устройств в политику 1,автоматически передавались в политику 2 и 3?
       
       
×
×
  • Создать...