Где хранятся логи касперского

Обновлено: 04.07.2024

Диагностическую информацию о событиях приложения можно получить с помощью файлов дампа, файлов журнала и файлов ETL. Служба технической поддержки может запросить эти файлы для устранения неполадок.

Файлы дампа представляют собой состояние рабочей памяти Kaspersky Anti-Ransomware Tool for Business на момент создания этих файлов. Файлы дампа создаются автоматически каждый раз при сбое приложения. Файлы дампа хранятся в папке %AllUsersProfile%\Kaspersky Lab\AntiRansom4\logs. Эти файлы имеют формат имени AntiRansom*.dmp, где * обозначает некоторые дополнительные сведения, такие как версия приложения или дата и время создания файла.

Файлы журнала используются для записи подробной информации об активности приложения. По умолчанию ведение журнала событий приложения отключено. Лог-файлы хранятся в папке %AllUsersProfile%\Kaspersky Lab\AntiRansom4\logs. Эти файлы имеют формат имени AntiRansom*.log, где * обозначает некоторые дополнительные сведения, такие как версия приложения или дата и время создания файла.

Файлы ETL создаются автоматически каждый раз, когда в приложении возникают проблемы с производительностью, и используются для записи информации о событии. В этом случае вам будет предложено отправить ETL-файлы в «Лабораторию Касперского» для дальнейшего анализа. Файлы ETL хранятся в папке %AllUsersProfile%\Kaspersky Lab\AntiRansom4\logs. Эти файлы имеют формат имени *.PERF*.etl, где * обозначает некоторые дополнительные сведения, такие как версия приложения или дата и время создания файла.

Файлы журнала могут занимать много места на диске. Рекомендуется включать ведение журнала по запросу в Службу технической поддержки. После сбора диагностической информации отключите ведение журнала, чтобы предотвратить нехватку места на диске.

Чтобы включить ведение журнала приложения:

  1. Откройте главное окно приложения.
  2. В левом нижнем углу нажмите .
  3. Прокрутите вниз и нажмите "Дополнительно" .
  4. Установите флажок "Ведение журнала приложений".

Если флажок установлен, вы можете указать уровень детализации журналов.

Kaspersky Anti-Ransomware Tool для бизнеса будет регистрировать события приложения.

При выходе из раздела «Настройки» вам будет предложено сохранить изменения или выйти из раздела без сохранения. Не забудьте сохранить изменения, если хотите, чтобы они применялись.

Файлы дампа и файлы журналов хранятся в незашифрованном формате и могут содержать конфиденциальные данные. Вы можете просмотреть содержимое этих файлов, открыв один из них в текстовом редакторе (например, Блокноте). Файлы дампа и файлы журнала удаляются навсегда при удалении приложения. "Лаборатория Касперского" не собирает автоматически файлы дампа или файлы журналов.

Пользователь несет личную ответственность за сохранность данных, хранящихся на его компьютере, в частности, за контроль и ограничение доступа к данным до момента их передачи в «Лабораторию Касперского».

Файлы трассировки хранятся на компьютере, пока приложение используется, и безвозвратно удаляются при удалении приложения.

Файлы трассировки хранятся в папке ProgramData\Kaspersky Lab.

Файл трассировки агента аутентификации хранится в папке System Volume Information и имеет следующее имя: KLFDE..PBELOG.bin .

Вы можете просматривать данные, сохраненные в файлах трассировки.

Все файлы трассировки содержат следующие общие данные:

  • Время события.
  • Номер потока выполнения.

Файл трассировки агента аутентификации не содержит этой информации.

Kaspersky Endpoint Security сохраняет пароли пользователей в файле трассировки только в зашифрованном виде.

Содержимое файлов трассировки SRV.log, GUI.log и ALL.log

Файлы трассировки SRV.log, GUI.log и ALL.log могут хранить следующую информацию в дополнение к общим данным:

Содержимое файлов трассировки HST.log, BL.log, Dumpwriter.log, WD.log, AVPCon.dll.log

Помимо общих данных, файл трассировки HST.log содержит информацию о выполнении задачи обновления баз и модулей программы.

Помимо общих данных файл трассировки BL.log содержит информацию о событиях, происходящих во время работы приложения, а также данные, необходимые для устранения ошибок приложения. Этот файл создается, если приложение запускается с параметром avp.exe –bl.

Помимо общих данных файл трассировки Dumpwriter.log содержит служебную информацию, необходимую для устранения ошибок, возникающих при записи файла дампа приложения.

Помимо общих данных файл трассировки WD.log содержит информацию о событиях, происходящих во время работы службы avpsus, включая события обновления модулей приложения.

Помимо общих данных файл трассировки AVPCon.dll.log содержит информацию о событиях, происходящих в процессе работы модуля подключения Kaspersky Security Center.

Содержимое файлов трассировки поставщика защиты AMSI

Помимо общих данных файл трассировки AMSI.log содержит информацию о результатах сканирования, выполненного по запросам сторонних приложений.

Содержимое файлов трассировки компонента Защита от почтовых угроз

Файл трассировки mcou.OUTLOOK.EXE.log может содержать части сообщений электронной почты, включая адреса электронной почты, в дополнение к общим данным.

Содержимое файлов трассировки компонента Сканировать из контекстного меню

Файл трассировки shellex.dll.log помимо общей информации содержит информацию о завершении задачи сканирования и данные, необходимые для отладки приложения.

Содержимое файлов трассировки веб-плагина приложения

Файлы трассировки хранятся на компьютере, на котором развернута Kaspersky Security Center 11 Web Console, в папке Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11\logs. Веб-консоль начинает записывать данные после установки и удаляет файлы трассировки после удаления веб-консоли.

Файлы трассировки для Kaspersky Endpoint Security имеют следующие имена: logs-kes_windows-.DESKTOP-.log .

Файлы трассировки веб-плагина приложения содержат помимо общих данных следующую информацию:

  • Пароль пользователя KLAdmin для разблокировки интерфейса Kaspersky Endpoint Security (защита паролем).
  • Временный пароль для разблокировки интерфейса Kaspersky Endpoint Security (защита паролем).
  • Имя пользователя и пароль для почтового сервера SMTP (уведомления по электронной почте).
  • Имя пользователя и пароль для прокси-сервера Интернета (прокси-сервера).
  • Имя пользователя и пароль для задачи Изменение компонентов приложения.
  • Учетные данные и пути, указанные в задачах и свойствах политики Kaspersky Endpoint Security.

Содержимое файла трассировки агента аутентификации

Помимо общих данных файл трассировки Агента аутентификации содержит информацию о работе Агента аутентификации и действиях, выполняемых пользователем с Агентом аутентификации.

Вы несете личную ответственность за безопасность данных, хранящихся на вашем компьютере, в частности, за контроль и ограничение доступа к данным до момента их отправки в «Лабораторию Касперского».

Файлы трассировки хранятся на компьютере, пока приложение используется, и безвозвратно удаляются при удалении приложения.

Файлы трассировки, за исключением файлов трассировки Агента аутентификации, хранятся в папке %ProgramData%\Kaspersky Lab.

Вы можете просматривать данные, сохраненные в файлах трассировки.

Все файлы трассировки содержат следующие общие данные:

  • Время события.
  • Номер потока выполнения.

Файл трассировки агента аутентификации не содержит этой информации.

Kaspersky Endpoint Security сохраняет пароли пользователей в файле трассировки только в зашифрованном виде.

Содержимое файлов трассировки SRV.log, GUI.log и ALL.log

Файлы трассировки SRV.log , GUI.log и ALL.log могут хранить следующую информацию в дополнение к общим данным:

Содержимое файлов трассировки HST.log, BL.log, Dumpwriter.log, WD.log, AVPCon.dll.log

Помимо общих данных, файл трассировки HST.log содержит информацию о выполнении задачи обновления баз и модулей программы.

Помимо общих данных файл трассировки BL.log содержит информацию о событиях, происходящих во время работы приложения, а также данные, необходимые для устранения ошибок приложения. Этот файл создается, если приложение запускается с параметром avp.exe –bl.

Помимо общих данных файл трассировки Dumpwriter.log содержит служебную информацию, необходимую для устранения ошибок, возникающих при записи файла дампа приложения.

Помимо общих данных файл трассировки WD.log содержит информацию о событиях, происходящих во время работы службы avpsus, включая события обновления модулей приложения.

Помимо общих данных файл трассировки AVPCon.dll.log содержит информацию о событиях, происходящих в процессе работы модуля подключения Kaspersky Security Center.

Содержимое файлов трассировки производительности

Файлы трассировки производительности имеют следующие имена: KESPERF.HAND.etl .

Помимо общих данных файлы трассировки производительности содержат информацию о нагрузке на процессор, информацию о времени загрузки операционной системы и приложений, а также информацию о запущенных процессах.

Содержимое файлов трассировки поставщика защиты AMSI

Помимо общих данных файл трассировки AMSI.log содержит информацию о результатах сканирования, выполненного по запросам сторонних приложений.

Содержимое файлов трассировки компонента Защита от почтовых угроз

Файл трассировки mcou.OUTLOOK.EXE.log может содержать части сообщений электронной почты, включая адреса электронной почты, в дополнение к общим данным.

Содержимое файлов трассировки компонента Сканировать из контекстного меню

Файл трассировки shellex.dll.log помимо общей информации содержит информацию о завершении задачи сканирования и данные, необходимые для отладки приложения.

Содержимое файлов трассировки веб-плагина приложения

Файлы трассировки веб-плагина программы хранятся на компьютере, на котором развернута Kaspersky Security Center 12 Web Console, в папке Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 12\logs.

Файлы трассировки веб-плагина приложения имеют следующие имена: logs-kes_windows-.DESKTOP-.log . Веб-консоль начинает записывать данные после установки и удаляет файлы трассировки после удаления веб-консоли.

Файлы трассировки веб-плагина приложения содержат помимо общих данных следующую информацию:

  • Пароль пользователя KLAdmin для разблокировки интерфейса Kaspersky Endpoint Security (защита паролем).
  • Временный пароль для разблокировки интерфейса Kaspersky Endpoint Security (защита паролем).
  • Имя пользователя и пароль для почтового сервера SMTP (уведомления по электронной почте).
  • Имя пользователя и пароль для прокси-сервера Интернета (прокси-сервера).
  • Имя пользователя и пароль для задачи Изменить компоненты приложения.
  • Учетные данные и пути, указанные в задачах и свойствах политики Kaspersky Endpoint Security.

Содержимое файла трассировки агента аутентификации

Файл трассировки агента аутентификации хранится в папке System Volume Information и называется следующим образом: KLFDE..PBELOG.bin .

Помимо общих данных файл трассировки Агента аутентификации содержит информацию о работе Агента аутентификации и действиях, выполняемых пользователем с Агентом аутентификации.

Пользователь несет личную ответственность за обеспечение безопасности собранных данных, в частности, за мониторинг и ограничение доступа к собранным данным, хранящимся на компьютере, до момента их передачи в «Лабораторию Касперского».

Файлы трассировки хранятся на вашем компьютере в измененной форме, которую невозможно прочитать, пока приложение используется, и безвозвратно удаляются при удалении приложения.

Файлы трассировки хранятся в папке ProgramData\Kaspersky Lab.

Файл трассировки агента аутентификации хранится в папке System Volume Information и имеет следующее имя: KLFDE..PBELOG.bin .

Вы можете просматривать данные, сохраненные в файлах трассировки. Обратитесь в Службу технической поддержки "Лаборатории Касперского" за консультацией по просмотру данных.

Все файлы трассировки содержат следующие общие данные:

  • Время события.
  • Номер потока выполнения.

Файл трассировки агента аутентификации не содержит этой информации.

Содержимое файлов трассировки SRV.log, GUI.log и ALL.log

Файлы трассировки SRV.log, GUI.log и ALL.log могут хранить следующую информацию в дополнение к общим данным:

Содержимое файлов трассировки HST.log, BL.log, Dumpwriter.log, WD.log, AVPCon.dll.log

Помимо общих данных, файл трассировки HST.log содержит информацию о выполнении задачи обновления баз и модулей программы.

Помимо общих данных файл трассировки BL.log содержит информацию о событиях, происходящих во время работы приложения, а также данные, необходимые для устранения ошибок приложения. Этот файл создается, если приложение запускается с параметром avp.exe –bl.

Помимо общих данных файл трассировки Dumpwriter.log содержит служебную информацию, необходимую для устранения ошибок, возникающих при записи файла дампа приложения.

Помимо общих данных файл трассировки WD.log содержит информацию о событиях, происходящих во время работы службы avpsus, включая события обновления модулей приложения.

Помимо общих данных файл трассировки AVPCon.dll.log содержит информацию о событиях, происходящих в процессе работы модуля подключения Kaspersky Security Center.

Содержимое файлов трассировки подключаемых модулей приложения

Файлы трассировки подключаемых модулей приложений помимо общих данных содержат следующую информацию:

  • Файл трассировки shellex.dll.log подключаемого модуля, запускающего задачу проверки из контекстного меню, содержит информацию о выполнении задачи проверки и данные, необходимые для отладки подключаемого модуля.
  • Файл трассировки mcou.OUTLOOK.EXE подключаемого модуля Почтового Антивируса может содержать части сообщений электронной почты, включая адреса электронной почты.

Содержимое файла трассировки агента аутентификации

Помимо общих данных файл трассировки Агента аутентификации содержит информацию о работе Агента аутентификации и действиях, выполняемых пользователем с Агентом аутентификации.

В этом разделе описываются свойства файла конфигурации ведения журнала kave.ini. Каве.ini определяет параметры ведения журнала для Kaspersky Anti-Virus Engine.

  • Описание файла конфигурации ведения журнала для режима HTTP см. в разделе «Настройка ведения журнала в режиме HTTP».
  • Описание файла конфигурации ведения журнала для режима ICAP см. в разделе «Ведение журнала в режиме ICAP».

В следующей таблице описаны свойства файла конфигурации ведения журнала kave.ini.

Запись свойств файла конфигурации

Указывает, сохраняются ли предыдущие файлы журнала без изменений или удаляются при каждой инициализации Kaspersky Scan Engine.

Автоматически удалять существующие файлы журналов.

Существующие файлы журналов в каталоге журналов автоматически удаляются при инициализации Kaspersky Scan Engine.

Сохранить существующие файлы журналов.

Kaspersky Scan Engine записывает информацию журналов в новые файлы журналов, каждый из которых соответствует определенному процессу. Этот параметр не заставляет Kaspersky Scan Engine добавлять информацию в существующий журнал.

Устанавливает максимально возможный размер файла журнала (в мегабайтах).

Любое положительное целое число в диапазоне от 0 до 4095.

Нет ограничений на размер файла журнала. Файлы журналов могут неограниченно увеличиваться.

Установка ограничения на ненулевое значение автоматически включает режим добавления независимо от значения, указанного для свойства Append.

Ведение журнала отключено.

Использование других значений не рекомендуется.

Путь к каталогу журналов.

Не заключайте путь в кавычки и не используйте управляющую последовательность вместо пробелов.

Путь рассчитывается относительно каталога, содержащего файл конфигурации ведения журнала kave.ini.

Каталог, содержащий kave.ini. Локальный путь можно указать, установив для параметра LogsFolder значение "." (без кавычек) или оставить значение пустым.

Полный настраиваемый путь к файлам журналов не должен превышать ограничение в 260 символов, установленное макросом MAX_PATH.
Это целое число не включает дополнительные ограничения длины, такие как нулевой терминатор, используемый в строках C, и другие ограничения. навязанные платформами: например, когда файловая система хранит дополнительное короткое имя в формате 8.3 с исходным именем файла для обеспечения совместимости с устаревшими приложениями.

Это свойство указывает, отправляет ли Kaspersky Scan Engine данные журнала демону syslog.

При использовании демона syslog вы можете записывать данные журналов в файлы журналов, другие программы или перенаправлять их на другой хост, как настроено в файле конфигурации для демона syslog.

Не отправляйте сообщения системного журнала демону системного журнала. Данные журнала записываются непосредственно в папку, указанную в параметре LogsFolder.

Перенаправить данные журнала в демон системного журнала. В этом случае данные журнала хранятся в месте, указанном в файле конфигурации демона syslog. Значение параметра LogsFolder игнорируется.

Прежде чем перенаправлять данные журнала в демон системного журнала, обязательно настройте демон системного журнала для ведения журнала отладки. Добавьте следующую строку в файл конфигурации syslog.conf:
*.=debug -/var/log/debug
Файл конфигурации syslog обычно находится в /etc/syslog.conf и управляет выводом демон syslogd.

В некоторых случаях ваш технический менеджер аккаунта (TAM) может попросить вас включить расширенное ведение журнала. Расширенное ведение журнала может помочь специалистам "Лаборатории Касперского" в расследовании проблемных ситуаций.

Чтобы включить расширенное ведение журнала:

  1. Откройте файл kave.ini (при необходимости создайте новый в папке с двоичным файлом kavehost)
  2. В разделе "Ведение журнала" добавьте параметр BssLogsFolder и укажите место для хранения файлов с расширенными данными журнала.

Это расположение должно быть отделено от вашего стандартного расположения данных журналов (указанного в LogsFolder ).

В следующем примере перечислены примеры файлов конфигурации для каждой из целевых платформ.

Следующий пример файла конфигурации можно использовать на UNIX-подобной платформе.

Читайте также: