Информация о событиях SoftControl
События SoftControl внутри базы данных хранятся в трех таблицах:
- События типа Event (события клиентских устройств) хранятся в таблице Events (поля таблицы описаны ниже).
- События типа SecurityEvent (события по управлению системой SoftControl) хранятся в таблице SecurityEvents.
- События типа EventLog (события из журналов Windows) хранятся в таблице EventLogs.
Таблица. Описание полей таблицы Events
| Поле | Тип поля | Для каких типов событий поле определено | Описание поля | Значения | Описание значения | Примечание | Тип клиента |
|---|---|---|---|---|---|---|---|
| ID | int | Для всех | ID события в базе | Все | |||
| OccurrenceTime | datetime | Для всех | Время события | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | Все | ||
| Importance | int | Для всех | Важность | 0 | Обычная | Все | |
| 1 | Высокая | ||||||
| 2 | Критичная | ||||||
| ClientID | int | Для всех | Уникальный ID устройства | Все | |||
| EventId | bigint | Для всех | Идентификатор события | -1 | Клиент недоступен | Все | |
| -2 | Клиент был недоступен, но пришел хартбит от клиента | ||||||
| >= 1 | Внутренний идентификатор события на клиенте (последовательно увеличивающееся значение) | ||||||
| ErrorText | nvarchar(max) | VirusScanEvent | Ошибка | Все | |||
| ActionStringID | nvarchar(max) | ChangingSettingsEvent | Строка, идентифицирующая действие | SETTINGS_CHANGED_BY_SERVER | Настройки изменены сервером | В таблице приведены не все действия, в будущих версиях список может расширяться | SysWatch |
| SETTINGS_CHANGED_BY_USER | Настройки изменены локально | ||||||
| VirusScanEvent | SCAN_START | Запуск сканера | |||||
| SCAN_FINISH | Завершение сканирования | ||||||
| BUILD_PROFILE_BEGIN | Запуск сбора профиля | ||||||
| BUILD_PROFILE_ERROR | Ошибка сбора профиля | ||||||
| BUILD_PROFILE_DONE | Профиль собран | ||||||
| UpdateEvent | UPDATE_START | Запуск обновлений | |||||
| UPDATE_FINISHED | Обновление завершено | ||||||
| PolicyViolationEvent | PV_DIR_OPEN | Открытие каталога | |||||
| PV_DIR_REMOVE | Удаление каталога | ||||||
| PV_FILE_CHANGE | Изменение файла | ||||||
| PV_FILE_DELETE | Удаление файла | ||||||
| PV_FILE_READ | Чтение файла | ||||||
| PV_FILE_RENAME | Переименование файла | ||||||
| PV_REG_KEY_CREATE | Создание ключа реестра | ||||||
| PV_REG_KEY_REMOVE | Удаление ключа реестра | ||||||
| PV_REG_VALUE_CHANGE | Изменение значения реестра | ||||||
| PV_REG_VALUE_REMOVE | Удаление значения реестра | ||||||
| PV_BAD_PSSWD_ENTERED | Введен неверный пароль | ||||||
| PV_PE_CHANGE | Модификация исполняемого файла | ||||||
| PV_REG_KEY_CHANGE | Модификация ключа реестра | ||||||
| PV_NET_INBOUND | Попытка принять входящее соединение | ||||||
| PV_NET_OUTBOUND | Попытка установить исходящее соединение | ||||||
| PV_IMAGE_LOAD | Загрузка DLL модуля | ||||||
| ActionStatusStringID | nvarchar(max) | VirusScanEvent | Строка, указывающая дополнительную информацию о действии | SCAN_START_SUCCESS | Сканер запущен | SysWatch | |
| SCAN_START_ERROR | Ошибка при запуске сканера | ||||||
| SCAN_OBJECT_OK | Успешно | ||||||
| SCAN_OBJECT_FAILED | Неудачно | ||||||
| SCAN_FINISH_STOPPED | Сканер был остановлен | ||||||
| UpdateEvent | UPDATE_START_SUCCESS | Процесс обновления запущен | |||||
| UPDATE_START_ERROR | Ошибка запуска | ||||||
| UPDATE_FINISHED_INTERRUPT_BY_USER | Обновление прервано пользователем | ||||||
| UPDATE_FINISHED_ERROR | Обновление завершено с ошибками | ||||||
| UPDATE_FINISHED_INFO_NOT_FOUND | Новых обновлений не найдено | ||||||
| UPDATE_FINISHED_NEED_REBOOT | Нужна перезагрузка системы | ||||||
| UPDATE_FINISHED_INSTALL_SUCCESS | Обновления успешно установлены | ||||||
| BinaryPath | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Исполняемый файл | SysWatch | |||
| CommandLine | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Командная строка процесса | SysWatch | |||
| User | nvarchar(max) | ChangingSettingsEvent ProcessLaunchEvent | Пользователь | Все | |||
| DecisionStringID | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Решение | DENY | Запрещен | SysWatch | |
| ALLOW | Разрешен | ||||||
| Pid | int | ProcessLaunchEvent | Идентификатор процесса | SysWatch | |||
| ParentPid | int | ProcessLaunchEvent | Идентификатор родительского процесса | SysWatch | |||
| ParentProcess | nvarchar(max) | ProcessLaunchEvent | Родительский процесс | SysWatch | |||
| ZoneStringID | nvarchar(max) | ProcessLaunchEvent | Зона | ENTERPRISE_ZONE_ID_BLOCKED | заблокированные | SysWatch | |
| ENTERPRISE_ZONE_ID_DEFAULT | по умолчанию | ||||||
| ENTERPRISE_ZONE_ID_PROTECTED | защищенные | не используется в текущей версии | |||||
| ENTERPRISE_ZONE_ID_RESTRICTED | ограниченные | не используется в текущей версии | |||||
| ENTERPRISE_ZONE_ID_TRUSTED | доверенные | ||||||
| ENTERPRISE_ZONE_ID_UNKNOWN | неизвестные | не используется в текущей версии | |||||
| CheckedObjectsCount | int | VirusScanEvent | Проверено объектов | SysWatch | |||
| NumberOfThreatsFound | int | VirusScanEvent | Угроз найдено | SysWatch | |||
| NumberOfThreatsNeutralized | int | VirusScanEvent | Угроз обезврежено | SysWatch | |||
| EmbeddedCertificatesCount | int | VirusScanEvent | Встроенные сертификаты | SysWatch | |||
| CatalogCertificatesCount | int | VirusScanEvent | Сертификаты каталогов | SysWatch | |||
| FSControl | nvarchar(max) | ActivityControlEvent | Контроль файловой системы | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| RegistryControl | nvarchar(max) | ActivityControlEvent | Контроль системного реестра | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| NetworkControl | nvarchar(max) | ActivityControlEvent | Контроль сети | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| StatusStringID | nvarchar(max) | StatusEvent | Статус клиента | ENTERPRISE_STATUS_INACTIVE | Остановлен | Все | |
| ENTERPRISE_STATUS_ACTIVE | Активен | ||||||
| ENTERPRISE_STATUS_PENDING | Ожидает решения | ||||||
| ENTERPRISE_STATUS_INVALID | Ошибка | ||||||
| UserLogoffName | nvarchar(max) | UserLogoffEvent | Имя вышедшего пользователя | Все | |||
| UserLogonName | nvarchar(max) | UserLogonEvent | Имя вошедшего пользователя | Все | |||
| __Disc__ | nvarchar(max) | Для всех | Тип события | 0 | UnknownEvent | Неизвестное событие (ошибка) | SysWatch |
| 1 | ProcessLaunchEvent | Запуск процесса | SysWatch | ||||
| 2 | VirusScanEvent | Антивирус | SysWatch | ||||
| 3 | UpdateEvent | Обновление клиента | SysWatch | ||||
| 4 | ActivityControlEvent | Контроль активности | SysWatch | ||||
| 5 | UserLogonEvent | Вход пользователя | SysWatch | ||||
| 6 | UserLogoffEvent | Выход пользователя | SysWatch | ||||
| 7 | PolicyViolationEvent | Нарушение политики контроля | SysWatch | ||||
| 8 | ChangingSettingsEvent | Изменение настроек | SysWatch | ||||
| 9 | DlpRegistryEvent | Наблюдение за реестром | DLP | ||||
| 10 | DlpPrintEvent | Наблюдение за печатью | DLP | ||||
| 11 | DlpHttpEvent | Наблюдение за HTTP трафиком | DLP | ||||
| 12 | DlpFileEvent | Наблюдение за файлами | DLP | ||||
| 13 | DlpAttachEvent | Наблюдение за вложениями в email | DLP | ||||
| 14 | DlpKeyLoggerEvent | Наблюдение за вводом с клавиатуры | DLP | ||||
| 15 | DlpAddedHardwareEvent | Присоеденино USB устройство | DLP | ||||
| 16 | DlpRemovedHardwareEvent | Удалено USB устройство | DLP | ||||
| 17 | DlpTimeworkEvent | Время работы с приложением | DLP | ||||
| 19 | StatusEvent | Статус клиента | Все | ||||
| 21 | ServicesEvent | Событие службы | SysWatch | ||||
| 22 | DlpVideoEvent | Запись видео | DLP | ||||
| 23 | DeCryptEvent | Событие DeCrypt | DeCrypt | ||||
| 24 | ProcessMonitoringEvent | События проверки факта работы заданного набора процессов | |||||
| 25 | UnderDebuggingEvent | Попытка отладки службы | |||||
| 26 | EmergencySituationEvent | Нештатная ситуация на клиенте | |||||
| AppControl | nvarchar(max) | ActivityControlEvent | Контроль приложений | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| ServiceName | nvarchar(max) | ServicesEvent | Имя службы | SysWatch | |||
| DisplayName | nvarchar(max) | ServicesEvent | Отображаемое имя службы | SysWatch | |||
| ServiceEvent | int | ServicesEvent | Событие службы | 0 | Служба была запущена | SysWatch | |
| 1 | Служба была остановлена | ||||||
| 2 | Служба была запущена ранее | ||||||
| PrintDesc | nvarchar(max) | PolicyViolationEvent | Детали | Номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)" | SysWatch | ||
| TimeZoneFlag | int | Для всех | Смещение относительно UTC | NULL | Событие сгенерировано до миграции сервера на версию 6.0 или клиентом версии до 6.0, все времена в событии локальные | Поле введено с версии 6.0 | Все |
| число | Смещение относительно UTC в минутах | ||||||
| Flags | bigint | - | Служебный флаг для разового пересчета времени из локального в UTC | ||||
| RegistryPath | nvarchar(max) | DlpRegistryEvent | Ветка реестра | DLP | |||
| StartTime | datetime | DlpTimeworkEvent DlpRegistryEvent DlpFileEvent | Время старта | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | DLP | ||
| EndTime | datetime | DlpTimeworkEvent DlpRegistryEvent DlpFileEvent | Время окончания | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | DLP | ||
| ScreenGuid | uniqueidentifier | DlpVideoEvent | Для использования в процессе работы программ модуля | Уникальный ID видеозаписи | DLP | ||
| TaskID | int | Для использования в процессе работы программ модуля | Для использования в процессе работы программ модуля | DLP | |||
| ProcessPath | nvarchar(max) | DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent | Путь к процессу | DLP | |||
| ProcessDesc | nvarchar(max) | DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent | Описание процесса | DLP | |||
| Ip | nvarchar(max) | DlpHttpEvent | IP | DLP | |||
| Url | nvarchar(max) | DlpHttpEvent | URL | DLP | |||
| FileIndex | nvarchar(max) | Для использования в процессе работы программ модуля | Для использования в процессе работы программ модуля | DLP | |||
| Header | nvarchar(max) | DlpHttpEvent | Заголовок | Заголовок HTTP для события типа HTTP | DLP | ||
| AccessMask | int | DlpFileEvent DlpRegistryEvent | Маска доступа | DLP | |||
| BackupFileName | nvarchar(max) | DlpFileEvent DlpRegistryEvent | Резервная копия | DLP | |||
| DeviceId | nvarchar(max) | DlpAddedHardwareEvent DlpRemovedHardwareEvent | ID устройства | DLP | |||
| DeviceClass | nvarchar(max) | Класс устройства | DLP | ||||
| DeviceDesc | nvarchar(max) | Описание устройства | DLP | ||||
| AttachPath | nvarchar(max) | DlpAttachEvent | Путь к файлу-вложению в письмо | DLP | |||
| FilePath | nvarchar(max) | DlpFileEvent | Путь к файлу | DLP | |||
| DriveType | int | DlpFileEvent | Тип диска | Тип носителя, на котором располагается наблюдаемый каталог или файл для события типа файл: локальный диск, съемный диск | DLP | ||
| KeyLoggerTime | datetime | DlpKeyLoggerEvent | Время записи события | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | DLP | ||
| KeyLoggerData | nvarchar(max) | DlpKeyLoggerEvent | Записанные данные | DLP | |||
| Error | int | DLP | |||||
| PrinterName | nvarchar(max) | DlpPrintEvent | Имя принтера | DLP |
