Информация о событиях SoftControl
События SoftControl внутри базы данных хранятся в трех таблицах:
- События типа Event (события клиентских устройств) хранятся в таблице Events (поля таблицы описаны ниже).
- События типа SecurityEvent (события по управлению системой SoftControl) хранятся в таблице SecurityEvents.
- События типа EventLog (события из журналов Windows) хранятся в таблице EventLogs.
Таблица. Описание полей таблицы Events
Поле | Тип поля | Для каких типов событий поле определено | Описание поля | Значения | Описание значения | Примечание | Тип клиента |
---|---|---|---|---|---|---|---|
ID | int | Для всех | ID события в базе | Все | |||
OccurrenceTime | datetime | Для всех | Время события | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | Все | ||
Importance | int | Для всех | Важность | 0 | Обычная | Все | |
1 | Высокая | ||||||
2 | Критичная | ||||||
ClientID | int | Для всех | Уникальный ID устройства | Все | |||
EventId | bigint | Для всех | Идентификатор события | -1 | Клиент недоступен | Все | |
-2 | Клиент был недоступен, но пришел хартбит от клиента | ||||||
>= 1 | Внутренний идентификатор события на клиенте (последовательно увеличивающееся значение) | ||||||
ErrorText | nvarchar(max) | VirusScanEvent | Ошибка | Все | |||
ActionStringID | nvarchar(max) | ChangingSettingsEvent | Строка, идентифицирующая действие | SETTINGS_CHANGED_BY_SERVER | Настройки изменены сервером | В таблице приведены не все действия, в будущих версиях список может расширяться | SysWatch |
SETTINGS_CHANGED_BY_USER | Настройки изменены локально | ||||||
VirusScanEvent | SCAN_START | Запуск сканера | |||||
SCAN_FINISH | Завершение сканирования | ||||||
BUILD_PROFILE_BEGIN | Запуск сбора профиля | ||||||
BUILD_PROFILE_ERROR | Ошибка сбора профиля | ||||||
BUILD_PROFILE_DONE | Профиль собран | ||||||
UpdateEvent | UPDATE_START | Запуск обновлений | |||||
UPDATE_FINISHED | Обновление завершено | ||||||
PolicyViolationEvent | PV_DIR_OPEN | Открытие каталога | |||||
PV_DIR_REMOVE | Удаление каталога | ||||||
PV_FILE_CHANGE | Изменение файла | ||||||
PV_FILE_DELETE | Удаление файла | ||||||
PV_FILE_READ | Чтение файла | ||||||
PV_FILE_RENAME | Переименование файла | ||||||
PV_REG_KEY_CREATE | Создание ключа реестра | ||||||
PV_REG_KEY_REMOVE | Удаление ключа реестра | ||||||
PV_REG_VALUE_CHANGE | Изменение значения реестра | ||||||
PV_REG_VALUE_REMOVE | Удаление значения реестра | ||||||
PV_BAD_PSSWD_ENTERED | Введен неверный пароль | ||||||
PV_PE_CHANGE | Модификация исполняемого файла | ||||||
PV_REG_KEY_CHANGE | Модификация ключа реестра | ||||||
PV_NET_INBOUND | Попытка принять входящее соединение | ||||||
PV_NET_OUTBOUND | Попытка установить исходящее соединение | ||||||
PV_IMAGE_LOAD | Загрузка DLL модуля | ||||||
ActionStatusStringID | nvarchar(max) | VirusScanEvent | Строка, указывающая дополнительную информацию о действии | SCAN_START_SUCCESS | Сканер запущен | SysWatch | |
SCAN_START_ERROR | Ошибка при запуске сканера | ||||||
SCAN_OBJECT_OK | Успешно | ||||||
SCAN_OBJECT_FAILED | Неудачно | ||||||
SCAN_FINISH_STOPPED | Сканер был остановлен | ||||||
UpdateEvent | UPDATE_START_SUCCESS | Процесс обновления запущен | |||||
UPDATE_START_ERROR | Ошибка запуска | ||||||
UPDATE_FINISHED_INTERRUPT_BY_USER | Обновление прервано пользователем | ||||||
UPDATE_FINISHED_ERROR | Обновление завершено с ошибками | ||||||
UPDATE_FINISHED_INFO_NOT_FOUND | Новых обновлений не найдено | ||||||
UPDATE_FINISHED_NEED_REBOOT | Нужна перезагрузка системы | ||||||
UPDATE_FINISHED_INSTALL_SUCCESS | Обновления успешно установлены | ||||||
BinaryPath | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Исполняемый файл | SysWatch | |||
CommandLine | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Командная строка процесса | SysWatch | |||
User | nvarchar(max) | ChangingSettingsEvent ProcessLaunchEvent | Пользователь | Все | |||
DecisionStringID | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Решение | DENY | Запрещен | SysWatch | |
ALLOW | Разрешен | ||||||
Pid | int | ProcessLaunchEvent | Идентификатор процесса | SysWatch | |||
ParentPid | int | ProcessLaunchEvent | Идентификатор родительского процесса | SysWatch | |||
ParentProcess | nvarchar(max) | ProcessLaunchEvent | Родительский процесс | SysWatch | |||
ZoneStringID | nvarchar(max) | ProcessLaunchEvent | Зона | ENTERPRISE_ZONE_ID_BLOCKED | заблокированные | SysWatch | |
ENTERPRISE_ZONE_ID_DEFAULT | по умолчанию | ||||||
ENTERPRISE_ZONE_ID_PROTECTED | защищенные | не используется в текущей версии | |||||
ENTERPRISE_ZONE_ID_RESTRICTED | ограниченные | не используется в текущей версии | |||||
ENTERPRISE_ZONE_ID_TRUSTED | доверенные | ||||||
ENTERPRISE_ZONE_ID_UNKNOWN | неизвестные | не используется в текущей версии | |||||
CheckedObjectsCount | int | VirusScanEvent | Проверено объектов | SysWatch | |||
NumberOfThreatsFound | int | VirusScanEvent | Угроз найдено | SysWatch | |||
NumberOfThreatsNeutralized | int | VirusScanEvent | Угроз обезврежено | SysWatch | |||
EmbeddedCertificatesCount | int | VirusScanEvent | Встроенные сертификаты | SysWatch | |||
CatalogCertificatesCount | int | VirusScanEvent | Сертификаты каталогов | SysWatch | |||
FSControl | nvarchar(max) | ActivityControlEvent | Контроль файловой системы | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
RegistryControl | nvarchar(max) | ActivityControlEvent | Контроль системного реестра | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
NetworkControl | nvarchar(max) | ActivityControlEvent | Контроль сети | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
StatusStringID | nvarchar(max) | StatusEvent | Статус клиента | ENTERPRISE_STATUS_INACTIVE | Остановлен | Все | |
ENTERPRISE_STATUS_ACTIVE | Активен | ||||||
ENTERPRISE_STATUS_PENDING | Ожидает решения | ||||||
ENTERPRISE_STATUS_INVALID | Ошибка | ||||||
UserLogoffName | nvarchar(max) | UserLogoffEvent | Имя вышедшего пользователя | Все | |||
UserLogonName | nvarchar(max) | UserLogonEvent | Имя вошедшего пользователя | Все | |||
__Disc__ | nvarchar(max) | Для всех | Тип события | 0 | UnknownEvent | Неизвестное событие (ошибка) | SysWatch |
1 | ProcessLaunchEvent | Запуск процесса | SysWatch | ||||
2 | VirusScanEvent | Антивирус | SysWatch | ||||
3 | UpdateEvent | Обновление клиента | SysWatch | ||||
4 | ActivityControlEvent | Контроль активности | SysWatch | ||||
5 | UserLogonEvent | Вход пользователя | SysWatch | ||||
6 | UserLogoffEvent | Выход пользователя | SysWatch | ||||
7 | PolicyViolationEvent | Нарушение политики контроля | SysWatch | ||||
8 | ChangingSettingsEvent | Изменение настроек | SysWatch | ||||
9 | DlpRegistryEvent | Наблюдение за реестром | DLP | ||||
10 | DlpPrintEvent | Наблюдение за печатью | DLP | ||||
11 | DlpHttpEvent | Наблюдение за HTTP трафиком | DLP | ||||
12 | DlpFileEvent | Наблюдение за файлами | DLP | ||||
13 | DlpAttachEvent | Наблюдение за вложениями в email | DLP | ||||
14 | DlpKeyLoggerEvent | Наблюдение за вводом с клавиатуры | DLP | ||||
15 | DlpAddedHardwareEvent | Присоеденино USB устройство | DLP | ||||
16 | DlpRemovedHardwareEvent | Удалено USB устройство | DLP | ||||
17 | DlpTimeworkEvent | Время работы с приложением | DLP | ||||
19 | StatusEvent | Статус клиента | Все | ||||
21 | ServicesEvent | Событие службы | SysWatch | ||||
22 | DlpVideoEvent | Запись видео | DLP | ||||
23 | DeCryptEvent | Событие DeCrypt | DeCrypt | ||||
24 | ProcessMonitoringEvent | События проверки факта работы заданного набора процессов | |||||
25 | UnderDebuggingEvent | Попытка отладки службы | |||||
26 | EmergencySituationEvent | Нештатная ситуация на клиенте | |||||
AppControl | nvarchar(max) | ActivityControlEvent | Контроль приложений | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
ServiceName | nvarchar(max) | ServicesEvent | Имя службы | SysWatch | |||
DisplayName | nvarchar(max) | ServicesEvent | Отображаемое имя службы | SysWatch | |||
ServiceEvent | int | ServicesEvent | Событие службы | 0 | Служба была запущена | SysWatch | |
1 | Служба была остановлена | ||||||
2 | Служба была запущена ранее | ||||||
PrintDesc | nvarchar(max) | PolicyViolationEvent | Детали | Номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)" | SysWatch | ||
TimeZoneFlag | int | Для всех | Смещение относительно UTC | NULL | Событие сгенерировано до миграции сервера на версию 6.0 или клиентом версии до 6.0, все времена в событии локальные | Поле введено с версии 6.0 | Все |
число | Смещение относительно UTC в минутах | ||||||
Flags | bigint | - | Служебный флаг для разового пересчета времени из локального в UTC | ||||
RegistryPath | nvarchar(max) | DlpRegistryEvent | Ветка реестра | DLP | |||
StartTime | datetime | DlpTimeworkEvent DlpRegistryEvent DlpFileEvent | Время старта | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | DLP | ||
EndTime | datetime | DlpTimeworkEvent DlpRegistryEvent DlpFileEvent | Время окончания | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | DLP | ||
ScreenGuid | uniqueidentifier | DlpVideoEvent | Для использования в процессе работы программ модуля | Уникальный ID видеозаписи | DLP | ||
TaskID | int | Для использования в процессе работы программ модуля | Для использования в процессе работы программ модуля | DLP | |||
ProcessPath | nvarchar(max) | DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent | Путь к процессу | DLP | |||
ProcessDesc | nvarchar(max) | DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent | Описание процесса | DLP | |||
Ip | nvarchar(max) | DlpHttpEvent | IP | DLP | |||
Url | nvarchar(max) | DlpHttpEvent | URL | DLP | |||
FileIndex | nvarchar(max) | Для использования в процессе работы программ модуля | Для использования в процессе работы программ модуля | DLP | |||
Header | nvarchar(max) | DlpHttpEvent | Заголовок | Заголовок HTTP для события типа HTTP | DLP | ||
AccessMask | int | DlpFileEvent DlpRegistryEvent | Маска доступа | DLP | |||
BackupFileName | nvarchar(max) | DlpFileEvent DlpRegistryEvent | Резервная копия | DLP | |||
DeviceId | nvarchar(max) | DlpAddedHardwareEvent DlpRemovedHardwareEvent | ID устройства | DLP | |||
DeviceClass | nvarchar(max) | Класс устройства | DLP | ||||
DeviceDesc | nvarchar(max) | Описание устройства | DLP | ||||
AttachPath | nvarchar(max) | DlpAttachEvent | Путь к файлу-вложению в письмо | DLP | |||
FilePath | nvarchar(max) | DlpFileEvent | Путь к файлу | DLP | |||
DriveType | int | DlpFileEvent | Тип диска | Тип носителя, на котором располагается наблюдаемый каталог или файл для события типа файл: локальный диск, съемный диск | DLP | ||
KeyLoggerTime | datetime | DlpKeyLoggerEvent | Время записи события | До версии 6.0 - локальное время, начиная с версии 6.0 - локальное время или время в UTC в зависимости от значения поля TimeZoneFlag | DLP | ||
KeyLoggerData | nvarchar(max) | DlpKeyLoggerEvent | Записанные данные | DLP | |||
Error | int | DLP | |||||
PrinterName | nvarchar(max) | DlpPrintEvent | Имя принтера | DLP |