29 ответов в этой теме

[Prophet]

Всем добрый день!

Используем Dr.Web KATANA на нескольких компьютерах, автоматизируем сбор и анализ логов.

Не чарез станцю управления человеком через графический интерфейс, а парсером, который собирает вне необходимые логи, включая логи Катаны.

 

В связи с этим вопрос: есть ли документация по формату файла C:\ProgramData\Doctor Web\Logs\dwservice.log ?

Понятно, что каждая активность записывается в лог отдельным параграфом. Часть имеет некий признак [denied]. Это то, что заретил выполнять антивирус? Хотелось бы понять полный формат лог файла, и на какие записи информировать администратора безопасности.

 

Второй вопрос: как часто он затирается?

 

[SergSG]

Хотелось бы понять полный формат лог файла, и на какие записи информировать администратора безопасности.

 

Второй вопрос: как часто он затирается?

Все, на что стоит реагировать пишется в докторский журнал событий. А в самом логе черт ногу сломит.

 

Он периодически еще и архивируется, кажется после 100 метров, если не путаю.

[Konstantin Yudin]

Формат событий в логе не постоянен и не версионирован т.е. может меняться в каждом апдейте. Но а в целом парсить его не составляет проблем. Все важные события, детекты дублируются в журнал системы в раздел Doctor Web.

[Prophet]

Спасибо ответившим!

[Prophet]

Уточняющий вопрос - а есть ли (не)полное описание журана событий drweb? т.е. при какой записи (сейчас - много "information") подключаться администратору? Спасибо.

[Prophet]

Ни у кого нет документа с описанием формата лога самого Др.Веба? В тех документации не нашел, в FAQ тоже нет...

[RomaNNN]

Ни у кого нет документа с описанием формата лога самого Др.Веба? В тех документации не нашел, в FAQ тоже нет...

 

 

Формат событий в логе не постоянен и не версионирован т.е. может меняться в каждом апдейте.

[Prophet]

RomanNNN, Спасибо! про лог Катаны/Веба (текстовые) я уже понял. А то, что записывается в системный журнал (через Event Viewer) - тоже нигде не описано? Типы событий, коды и т.д.

[RomaNNN]

Prophet, там разные события есть, от разных типов, разных компонентов, соответственно формат почти всегда разный. И да, такие события наоборот предоставляются больше в человекочитаемом виде, чтобы пользователю было понятно что произошло.

 

Какую задачу пытаетесь решить?

[Prophet]

Задача - для ряда машин скриптом периодически парсить журнал событий и информировать по почте администратора безопасности о наступлении события, которое требует его вмешательства (например, обнаружен вирус).

[RomaNNN]

Prophet, у антивируса есть штатные почтовые уведомления.

[SergSG]

Задача - для ряда машин скриптом периодически парсить журнал событий и информировать по почте администратора безопасности о наступлении события, которое требует его вмешательства (например, обнаружен вирус).

Доктор может сам сбрасывать любые интересующие вас события на мыло.

[Prophet]

Хм, у нас используется Катана, не нашел в ней опции рассылать что-либо.

[SergSG]

 

Хм, у нас используется Катана, не нашел в ней опции рассылать что-либо.

 

Настройки - Уведомления.- Параметры уведомлений - Почта.

[Eugen Engelhardt]

 

Хм, у нас используется Катана, не нашел в ней опции рассылать что-либо.

Настройки - Уведомления.- Параметры уведомлений - Почта.

 

В Катане нет настройки уведомлений. Однако, не мешало бы добавить в будущем.

[SergSG]

В Катане нет настройки уведомлений. Однако, не мешало бы добавить в будущем.

Видимо я уже подзабыл ее за давностью. А у нее есть будущее? 

[techdir]

Жаль, что ключ не подходит от того же Dr.Web SS. Получила бы Катана более широкое распространение и известность

[Afalin]

В Катане нет настройки уведомлений. Однако, не мешало бы добавить в будущем.

Видимо я уже подзабыл ее за давностью. А у нее есть будущее? 

Даже были мысли втащить её в ESS.

[SergSG]

 

В Катане нет настройки уведомлений. Однако, не мешало бы добавить в будущем.

Видимо я уже подзабыл ее за давностью. А у нее есть будущее? 

Даже были мысли втащить её в ESS.

 

Ну, наверно проще из сетапа 12.5 выкинуть возможность загрузки части модулей, чем делать отдельную сущность.

[Afalin]

Ну, наверно проще из сетапа 12.5 выкинуть возможность загрузки части модулей, чем делать отдельную сущность.

Не проще, там вопросы начинаются уже с лицензирования.