Information about SoftControl events — различия между версиями
AZ (обсуждение | вклад) |
AZ (обсуждение | вклад) |
||
| Строка 232: | Строка 232: | ||
| PrintDesc || nvarchar(max) || PolicyViolationEvent || Детали || || || Номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)" || SysWatch | | PrintDesc || nvarchar(max) || PolicyViolationEvent || Детали || || || Номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)" || SysWatch | ||
|-style="background: papayawhip" | |-style="background: papayawhip" | ||
| − | | rowspan=" | + | | rowspan="2" | TimeZoneFlag || rowspan="2" | int || rowspan="2" | Для всех || rowspan="2" | Смещение относительно UTC в минутах || NULL || Поле введено с версии 6.0 || Все || 1 || |
|-style="background: papayawhip" | |-style="background: papayawhip" | ||
| − | | | + | | число || Поле введено с версии 6.0 || |
| − | |||
| − | |||
|- | |- | ||
| Flags || bigint || - || Служебный флаг для разового пересчета времени из локального в UTC || || || || | | Flags || bigint || - || Служебный флаг для разового пересчета времени из локального в UTC || || || || | ||
Версия 13:22, 26 февраля 2021
События SoftControl внутри базы данных хранятся в трех таблицах:
- События типа Event (события клиентских устройств) хранятся в таблице Events (поля таблицы описаны ниже).
- События типа SecurityEvent (события по управлению системой SoftControl) хранятся в таблице SecurityEvents.
- События типа EventLog (события из журналов Windows) хранятся в таблице EventLogs.
Таблица. Описание полей таблицы Events
| Поле | Тип поля | Для каких типов событий поле определено | Описание поля | Значения | Описание значения | Примечание | Тип клиента | |
|---|---|---|---|---|---|---|---|---|
| ID | int | Для всех | ID события в базе | Все | ||||
| OccurrenceTime | datetime | Для всех | Время события | До версии 6.0 - локальное время, начиная с версии 6.0 - время в UTC | Все | |||
| Importance | int | Для всех | Важность | 0 | Обычная | Все | ||
| 1 | Высокая | |||||||
| 2 | Критичная | |||||||
| ClientID | int | Для всех | Уникальный ID устройства | Все | ||||
| EventId | bigint | Для всех | Идентификатор события | -1 | Клиент недоступен | Все | ||
| -2 | Клиент был недоступен, но пришел хартбит от клиента | |||||||
| >= 1 | Внутренний идентификатор события на клиенте (последовательно увеличивающееся значение) | |||||||
| ErrorText | nvarchar(max) | VirusScanEvent | Ошибка | Все | ||||
| ActionStringID | nvarchar(max) | ChangingSettingsEvent | Строка, идентифицирующая действие | SETTINGS_CHANGED_BY_SERVER | Настройки изменены сервером | В таблице приведены не все действия, в будущих версиях список может расширяться | SysWatch | |
| SETTINGS_CHANGED_BY_USER | Настройки изменены локально | |||||||
| VirusScanEvent | SCAN_START | Запуск сканера | ||||||
| SCAN_FINISH | Завершение сканирования | |||||||
| BUILD_PROFILE_BEGIN | Запуск сбора профиля | |||||||
| BUILD_PROFILE_ERROR | Ошибка сбора профиля | |||||||
| BUILD_PROFILE_DONE | Профиль собран | |||||||
| UpdateEvent | UPDATE_START | Запуск обновлений | ||||||
| UPDATE_FINISHED | Обновление завершено | |||||||
| PolicyViolationEvent | PV_DIR_OPEN | Открытие каталога | ||||||
| PV_DIR_REMOVE | Удаление каталога | |||||||
| PV_FILE_CHANGE | Изменение файла | |||||||
| PV_FILE_DELETE | Удаление файла | |||||||
| PV_FILE_READ | Чтение файла | |||||||
| PV_FILE_RENAME | Переименование файла | |||||||
| PV_REG_KEY_CREATE | Создание ключа реестра | |||||||
| PV_REG_KEY_REMOVE | Удаление ключа реестра | |||||||
| PV_REG_VALUE_CHANGE | Изменение значения реестра | |||||||
| PV_REG_VALUE_REMOVE | Удаление значения реестра | |||||||
| PV_BAD_PSSWD_ENTERED | Введен неверный пароль | |||||||
| PV_PE_CHANGE | Модификация исполняемого файла | |||||||
| PV_REG_KEY_CHANGE | Модификация ключа реестра | |||||||
| PV_NET_INBOUND | Попытка принять входящее соединение | |||||||
| PV_NET_OUTBOUND | Попытка установить исходящее соединение | |||||||
| PV_IMAGE_LOAD | Загрузка DLL модуля | |||||||
| ActionStatusStringID | nvarchar(max) | VirusScanEvent | Строка, указывающая дополнительную информацию о действии | SCAN_START_SUCCESS | Сканер запущен | SysWatch | ||
| SCAN_START_ERROR | Ошибка при запуске сканера | |||||||
| SCAN_OBJECT_OK | Успешно | |||||||
| SCAN_OBJECT_FAILED | Неудачно | |||||||
| SCAN_FINISH_STOPPED | Сканер был остановлен | |||||||
| UpdateEvent | UPDATE_START_SUCCESS | Процесс обновления запущен | ||||||
| UPDATE_START_ERROR | Ошибка запуска | |||||||
| UPDATE_FINISHED_INTERRUPT_BY_USER | Обновление прервано пользователем | |||||||
| UPDATE_FINISHED_ERROR | Обновление завершено с ошибками | |||||||
| UPDATE_FINISHED_INFO_NOT_FOUND | Новых обновлений не найдено | |||||||
| UPDATE_FINISHED_NEED_REBOOT | Нужна перезагрузка системы | |||||||
| UPDATE_FINISHED_INSTALL_SUCCESS | Обновления успешно установлены | |||||||
| BinaryPath | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Исполняемый файл | SysWatch | ||||
| CommandLine | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Командная строка процесса | SysWatch | ||||
| User | nvarchar(max) | ChangingSettingsEvent ProcessLaunchEvent | Пользователь | Все | ||||
| DecisionStringID | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Решение | DENY | Запрещен | SysWatch | ||
| ALLOW | Разрешен | |||||||
| Pid | int | ProcessLaunchEvent | Идентификатор процесса | SysWatch | ||||
| ParentPid | int | ProcessLaunchEvent | Идентификатор родительского процесса | SysWatch | ||||
| ParentProcess | nvarchar(max) | ProcessLaunchEvent | Родительский процесс | SysWatch | ||||
| ZoneStringID | nvarchar(max) | ProcessLaunchEvent | Зона | ENTERPRISE_ZONE_ID_BLOCKED | заблокированные | SysWatch | ||
| ENTERPRISE_ZONE_ID_DEFAULT | по умолчанию | |||||||
| ENTERPRISE_ZONE_ID_PROTECTED | защищенные | не используется в текущей версии | ||||||
| ENTERPRISE_ZONE_ID_RESTRICTED | ограниченные | не используется в текущей версии | ||||||
| ENTERPRISE_ZONE_ID_TRUSTED | доверенные | |||||||
| ENTERPRISE_ZONE_ID_UNKNOWN | неизвестные | не используется в текущей версии | ||||||
| CheckedObjectsCount | int | VirusScanEvent | Проверено объектов | SysWatch | ||||
| NumberOfThreatsFound | int | VirusScanEvent | Угроз найдено | SysWatch | ||||
| NumberOfThreatsNeutralized | int | VirusScanEvent | Угроз обезврежено | SysWatch | ||||
| EmbeddedCertificatesCount | int | VirusScanEvent | Встроенные сертификаты | SysWatch | ||||
| CatalogCertificatesCount | int | VirusScanEvent | Сертификаты каталогов | SysWatch | ||||
| FSControl | nvarchar(max) | ActivityControlEvent | Контроль файловой системы | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | ||
| CTRL_ACTIVITY_INACTIVE | Неактивно | |||||||
| RegistryControl | nvarchar(max) | ActivityControlEvent | Контроль системного реестра | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | ||
| CTRL_ACTIVITY_INACTIVE | Неактивно | |||||||
| NetworkControl | nvarchar(max) | ActivityControlEvent | Контроль сети | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | ||
| CTRL_ACTIVITY_INACTIVE | Неактивно | |||||||
| StatusStringID | nvarchar(max) | StatusEvent | Статус клиента | ENTERPRISE_STATUS_INACTIVE | Остановлен | Syswatch, DLP | ||
| ENTERPRISE_STATUS_ACTIVE | Активен | |||||||
| ENTERPRISE_STATUS_PENDING | Ожидает решения | |||||||
| ENTERPRISE_STATUS_INVALID | Ошибка | |||||||
| UserLogoffName | nvarchar(max) | UserLogoffEvent | Имя вышедшего пользователя | Syswatch, DLP | ||||
| UserLogonName | nvarchar(max) | UserLogonEvent | Имя вошедшего пользователя | Syswatch, DLP | ||||
| __Disc__ | nvarchar(max) | Для всех | Тип события | 0 | UnknownEvent | Неизвестное событие (ошибка) | Syswatch | |
| 1 | ProcessLaunchEvent | Запуск процесса | Syswatch | |||||
| 2 | VirusScanEvent | Антивирус | Syswatch | |||||
| 3 | UpdateEvent | Обновление клиента | Syswatch | |||||
| 4 | ActivityControlEvent | Контроль активности | Syswatch | |||||
| 5 | UserLogonEvent | Вход пользователя | Syswatch | |||||
| 6 | UserLogoffEvent | Выход пользователя | Syswatch | |||||
| 7 | PolicyViolationEvent | Нарушение политики контроля | Syswatch | |||||
| 8 | ChangingSettingsEvent | Изменение настроек | Syswatch | |||||
| 9 | DlpRegistryEvent | Наблюдение за реестром | DLP Client | |||||
| 10 | DlpPrintEvent | Наблюдение за печатью | DLP Client | |||||
| 11 | DlpHttpEvent | Наблюдение за HTTP трафиком | DLP Client | |||||
| 12 | DlpFileEvent | Наблюдение за файлами | DLP Client | |||||
| 13 | DlpAttachEvent | Наблюдение за вложениями в email | DLP Client | |||||
| 14 | DlpKeyLoggerEvent | Наблюдение за вводом с клавиатуры | DLP Client | |||||
| 15 | DlpAddedHardwareEvent | Присоеденино USB устройство | DLP Client | |||||
| 16 | DlpRemovedHardwareEvent | Удалено USB устройство | DLP Client | |||||
| 17 | DlpTimeworkEvent | Время работы с приложением | DLP Client | |||||
| 19 | StatusEvent | Статус клиента | Все | |||||
| 21 | ServicesEvent | Событие службы | Syswatch | |||||
| 22 | DlpVideoEvent | Запись видео | DLP Client | |||||
| 23 | DeCryptEvent | Событие DeCrypt | DeCrypt | |||||
| 24 | ProcessMonitoringEvent | События проверки факта работы заданного набора процессов | ||||||
| 25 | UnderDebuggingEvent | Попытка отладки службы | ||||||
| 26 | EmergencySituationEvent | Нештатная ситуация на клиенте | ||||||
| AppControl | nvarchar(max) | ActivityControlEvent | Контроль приложений | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | ||
| CTRL_ACTIVITY_INACTIVE | Неактивно | |||||||
| ServiceName | nvarchar(max) | ServicesEvent | Имя службы | SysWatch | ||||
| DisplayName | nvarchar(max) | ServicesEvent | Отображаемое имя службы | SysWatch | ||||
| ServiceEvent | int | ServicesEvent | Событие службы | 0 | Служба была запущена | SysWatch | ||
| 1 | Служба была остановлена | |||||||
| 2 | Служба была запущена ранее | |||||||
| PrintDesc | nvarchar(max) | PolicyViolationEvent | Детали | Номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)" | SysWatch | |||
| TimeZoneFlag | int | Для всех | Смещение относительно UTC в минутах | NULL | Поле введено с версии 6.0 | Все | 1 | |
| число | Поле введено с версии 6.0 | |||||||
| Flags | bigint | - | Служебный флаг для разового пересчета времени из локального в UTC | |||||
| RegistryPath | nvarchar(max) | DlpRegistryEvent | Ветка реестра | DLP Client | ||||
| StartTime | datetime | DlpTimeworkEvent DlpRegistryEvent DlpFileEvent | Время старта | До версии 6.0 - локальное время, начиная с версии 6.0 - время в UTC | DLP Client | |||
| EndTime | datetime | DlpTimeworkEvent DlpRegistryEvent DlpFileEvent | Время окончания | До версии 6.0 - локальное время, начиная с версии 6.0 - время в UTC | DLP Client | |||
| ScreenGuid | uniqueidentifier | DlpVideoEvent | Для использования в процессе работы программ модуля | Уникальный ID видеозаписи | DLP Client | |||
| TaskID | int | Для использования в процессе работы программ модуля | Для использования в процессе работы программ модуля | DLP Client | ||||
| ProcessPath | nvarchar(max) | DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent | Путь к процессу | DLP Client | ||||
| ProcessDesc | nvarchar(max) | DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent | Описание процесса | DLP Client | ||||
| Ip | nvarchar(max) | DlpHttpEvent | IP | DLP Client | ||||
| Url | nvarchar(max) | DlpHttpEvent | URL | DLP Client | ||||
| FileIndex | nvarchar(max) | Для использования в процессе работы программ модуля | Для использования в процессе работы программ модуля | DLP Client | ||||
| Header | nvarchar(max) | DlpHttpEvent | Заголовок | Заголовок HTTP для события типа HTTP | DLP Client | |||
| AccessMask | int | DlpFileEvent DlpRegistryEvent | Маска доступа | DLP Client | ||||
| BackupFileName | nvarchar(max) | DlpFileEvent DlpRegistryEvent | Резервная копия | DLP Client | ||||
| DeviceId | nvarchar(max) | DlpAddedHardwareEvent DlpRemovedHardwareEvent | ID устройства | DLP Client | ||||
| DeviceClass | nvarchar(max) | Класс устройства | DLP Client | |||||
| DeviceDesc | nvarchar(max) | Описание устройства | DLP Client | |||||
| AttachPath | nvarchar(max) | DlpAttachEvent | Путь к файлу-вложению в письмо | DLP Client | ||||
| FilePath | nvarchar(max) | DlpFileEvent | Путь к файлу | DLP Client | ||||
| DriveType | int | DlpFileEvent | Тип диска | Тип носителя, на котором располагается наблюдаемый каталог или файл для события типа файл: локальный диск, съемный диск | DLP Client | |||
| KeyLoggerTime | datetime | DlpKeyLoggerEvent | Время записи события | До версии 6.0 - локальное время, начиная с версии 6.0 - время в UTC | DLP Client | |||
| KeyLoggerData | nvarchar(max) | DlpKeyLoggerEvent | Записанные данные | DLP Client | ||||
| Error | int | DLP Client | ||||||
| PrinterName | nvarchar(max) | DlpPrintEvent | Имя принтера | DLP Client |
