Information about SoftControl events — различия между версиями
EElagina (обсуждение | вклад) |
EElagina (обсуждение | вклад) |
||
| Строка 1: | Строка 1: | ||
{{DISPLAYTITLE:Информация о событиях SoftControl|noreplace}} | {{DISPLAYTITLE:Информация о событиях SoftControl|noreplace}} | ||
| − | {| class="wikitable" | + | {| class="wikitable" style="vertical-align: top" |
|- | |- | ||
! Поле !! Тип поля !! Для каких типов событий поле определено !! Описание поля !! Значения !! Описание значения !! Примечание !! Тип клиента | ! Поле !! Тип поля !! Для каких типов событий поле определено !! Описание поля !! Значения !! Описание значения !! Примечание !! Тип клиента | ||
| Строка 73: | Строка 73: | ||
|- | |- | ||
| PV_IMAGE_LOAD || Загрузка DLL модуля | | PV_IMAGE_LOAD || Загрузка DLL модуля | ||
| + | |-style="background: papayawhip" | ||
| + | | rowspan="12" | [ActionStatusStringID] || rowspan="12" | nvarchar(max) || rowspan="5" | VirusScanEvent || rowspan="12" | Строка, указывающая дополнительную информацию о действии || SCAN_START_SUCCESS || Сканер запущен || || rowspan="12" | SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | | SCAN_START_ERROR || Ошибка при запуске сканера || | ||
| + | |-style="background: papayawhip" | ||
| + | | SCAN_OBJECT_OK || Успешно || | ||
| + | |-style="background: papayawhip" | ||
| + | | SCAN_OBJECT_FAILED || Неудачно || | ||
| + | |-style="background: papayawhip" | ||
| + | | SCAN_FINISH_STOPPED || Сканер был остановлен || | ||
| + | |-style="background: papayawhip" | ||
| + | | rowspan="7" | UpdateEvent || UPDATE_START_SUCCESS || Процесс обновления запущен || | ||
| + | |-style="background: papayawhip" | ||
| + | | UPDATE_START_ERROR || Ошибка запуска || | ||
| + | |-style="background: papayawhip" | ||
| + | | UPDATE_FINISHED_INTERRUPT_BY_USER || Обновление прервано пользователем || | ||
| + | |-style="background: papayawhip" | ||
| + | | UPDATE_FINISHED_ERROR || Обновление завершено с ошибками || | ||
| + | |-style="background: papayawhip" | ||
| + | | UPDATE_FINISHED_INFO_NOT_FOUND || Новых обновлений не найдено || | ||
| + | |-style="background: papayawhip" | ||
| + | | UPDATE_FINISHED_NEED_REBOOT || Нужна перезагрузка системы || | ||
| + | |-style="background: papayawhip" | ||
| + | | UPDATE_FINISHED_INSTALL_SUCCESS || Обновления успешно установлены || | ||
| + | |- | ||
| + | |[BinaryPath] || nvarchar(max) || PolicyViolationEvent ProcessLaunchEvent || Исполняемый файл || || || || SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | | [CommandLine] || nvarchar(max) || PolicyViolationEvent ProcessLaunchEvent || Командная строка процесса || || || || SysWatch | ||
| + | |- | ||
| + | | [User] || nvarchar(max) || ChangingSettingsEvent ProcessLaunchEvent || Пользователь || || || || SysWatch, DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | rowspan="2" | [DecisionStringID] || rowspan="2" | nvarchar(max) || rowspan="2" | PolicyViolationEvent ProcessLaunchEvent || rowspan="2" | Решение || DENY || Запрещен || || rowspan="2" | SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | || ALLOW || Разрешен || | ||
| + | |- | ||
| + | | [Pid] || int || ProcessLaunchEvent || Идентификатор процесса || || || || SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | |[ParentPid] || int || ProcessLaunchEvent || Идентификатор родительского процесса || || || || SysWatch | ||
| + | |- | ||
| + | | [ParentProcess] || nvarchar(max) || ProcessLaunchEvent || Родительский процесс || || || || SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | | rowspan="6" | [ZoneStringID] || rowspan="6" | nvarchar(max) || rowspan="6" | ProcessLaunchEvent || rowspan="6" | Зона || ENTERPRISE_ZONE_ID_BLOCKED || заблокированные || || rowspan="6" | SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | | ENTERPRISE_ZONE_ID_DEFAULT || по умолчанию || || | ||
| + | |-style="background: papayawhip" | ||
| + | | ENTERPRISE_ZONE_ID_PROTECTED || защищенные || не используется в текущей версии || | ||
| + | |-style="background: papayawhip" | ||
| + | | ENTERPRISE_ZONE_ID_RESTRICTED || ограниченные || не используется в текущей версии || | ||
| + | |-style="background: papayawhip" | ||
| + | | ENTERPRISE_ZONE_ID_TRUSTED || доверенные || || | ||
| + | |-style="background: papayawhip" | ||
| + | | ENTERPRISE_ZONE_ID_UNKNOWN || неизвестные || не используется в текущей версии || | ||
| + | |- | ||
| + | |[CheckedObjectsCount] || int || VirusScanEvent || Проверено объектов || || || || SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | |[NumberOfThreatsFound] || int || VirusScanEvent || Угроз найдено || || || || SysWatch | ||
| + | |- | ||
| + | | [NumberOfThreatsNeutralized] || int || VirusScanEvent || Угроз обезврежено || || || || SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | [EmbeddedCertificatesCount] || int || VirusScanEvent || Встроенные сертификаты || || || || SysWatch | ||
| + | |- | ||
| + | [CatalogCertificatesCount] || int || VirusScanEvent || Сертификаты каталогов || || || || SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | | rowspan="2" | [FSControl] || rowspan="2" | nvarchar(max) || rowspan="2" | ActivityControlEvent || rowspan="2" | Контроль файловой системы || CTRL_ACTIVITY_ACTIVE || Активно || || rowspan="2" | SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | | CTRL_ACTIVITY_INACTIVE || Неактивно || | ||
| + | |- | ||
| + | | rowspan="2" | [RegistryControl] || rowspan="2" | nvarchar(max) || rowspan="2" | ActivityControlEvent || rowspan="2" | Контроль системного реестра || CTRL_ACTIVITY_ACTIVE || Активно || || rowspan="2" | SysWatch | ||
| + | |- | ||
| + | | CTRL_ACTIVITY_INACTIVE || Неактивно || | ||
| + | |-style="background: papayawhip" | ||
| + | | rowspan="2" | [NetworkControl] || rowspan="2" | nvarchar(max) || rowspan="2" | ActivityControlEvent || rowspan="2" | Контроль сети || CTRL_ACTIVITY_ACTIVE || Активно || || rowspan="2" | SysWatch | ||
| + | |-style="background: papayawhip" | ||
| + | | CTRL_ACTIVITY_INACTIVE || Неактивно || | ||
| + | |- | ||
| + | | rowspan="4" | [StatusStringID] || rowspan="4" | nvarchar(max) || rowspan="4" | StatusEvent || rowspan="4" | Статус клиента || ENTERPRISE_STATUS_INACTIVE || Остановлен || || rowspan="4" | Syswatch, DLP | ||
|- | |- | ||
| − | + | | ENTERPRISE_STATUS_ACTIVE || Активен || | |
|- | |- | ||
| − | | | + | | ENTERPRISE_STATUS_PENDING || Ожидает решения || |
|- | |- | ||
| − | | [ | + | | ENTERPRISE_STATUS_INVALID || Ошибка || |
| + | |-style="background: papayawhip" | ||
| + | | [UserLogoffName] || nvarchar(max) || UserLogoffEvent || Имя вышедшего пользователя || || || || Syswatch, DLP | ||
|- | |- | ||
| − | | [ | + | | [UserLogonName] || nvarchar(max) || UserLogonEvent || Имя вошедшего пользователя || || || || Syswatch, DLP |
| − | |||
|- | |- | ||
| − | + | [__Disc__] nvarchar(max) Для всех Тип события 0 UnknownEvent неизвестное событие (ошибка) Syswatch | |
| + | 1 ProcessLaunchEvent запуск процесса Syswatch | ||
| + | 2 VirusScanEvent антивирус Syswatch | ||
| + | 3 UpdateEvent обновление клиента Syswatch | ||
| + | 4 ActivityControlEvent контроль активности Syswatch | ||
| + | 5 UserLogonEvent вход пользователя Syswatch | ||
| + | 6 UserLogoffEvent выход пользователя Syswatch | ||
| + | 7 PolicyViolationEvent нарушение политики контроля Syswatch | ||
| + | 8 ChangingSettingsEvent изменение настроек Syswatch | ||
| + | 9 DlpRegistryEvent [DLP] наблюдение за реестром DLP Guard | ||
| + | 10 DlpPrintEvent [DLP] наблюдение за печатью DLP Guard | ||
| + | 11 DlpHttpEvent [DLP] наблюдение за HTTP трафиком DLP Guard | ||
| + | 12 DlpFileEvent [DLP] наблюдение за файлами DLP Guard | ||
| + | 13 DlpAttachEvent [DLP] наблюдение за вложениями в email DLP Guard | ||
| + | 14 DlpKeyLoggerEvent [DLP] наблюдение за вводом с клавиатуры DLP Guard | ||
| + | 15 DlpAddedHardwareEvent [DLP] присоеденино USB устройство DLP Guard | ||
| + | 16 DlpRemovedHardwareEvent [DLP] удалено USB устройство DLP Guard | ||
| + | 17 DlpTimeworkEvent [DLP] время работы с приложением DLP Guard | ||
| + | 19 StatusEvent статус клиента "Syswatch | ||
| + | DLP Guard" | ||
| + | 21 ServicesEvent событие службы Syswatch | ||
| + | 22 DlpVideoEvent [DLP] запись видео DLP Guard | ||
| + | 23 DeCryptEvent [DECRYPT] событие DeCrypt DeCrypt | ||
| + | 24 ProcessMonitoringEvent события проверки факта работы заданного набора процессов | ||
| + | 25 UnderDebuggingEvent попытка отладки службы | ||
| + | 26 EmergencySituationEvent нештатная ситуация на клиенте | ||
| + | [AppControl] nvarchar(max) ActivityControlEvent Контроль приложений CTRL_ACTIVITY_ACTIVE Активно SysWatch | ||
| + | CTRL_ACTIVITY_INACTIVE Неактивно | ||
| + | [ServiceName] nvarchar(max) ServicesEvent Имя службы SysWatch | ||
| + | [DisplayName] nvarchar(max) ServicesEvent Отображаемое имя службы SysWatch | ||
| + | [ServiceEvent] int ServicesEvent Событие службы 0 Служба была запущена SysWatch | ||
| + | 1 Служба была остановлена | ||
| + | 2 Служба была запущена ранее | ||
| + | [PrintDesc] nvarchar(max) PolicyViolationEvent Детали (номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)") SysWatch | ||
| + | [TimeZoneFlag] tinyint Для всех Служебный флаг для разового пересчёта времени из локального в UTC NULL Не пересчитанное время (локальное) | ||
| + | 1 Новое время (UTC) | ||
| + | 2 Пересчитанное время (UTC) | ||
| + | [Flags] bigint - Служебный флаг для разового пересчёта времени из локального в UTC | ||
| + | [RegistryPath] nvarchar(max) DlpRegistryEvent Ветка реестра DLP Guard | ||
| + | [StartTime] datetime "DlpTimeworkEvent | ||
| + | DlpRegistryEvent | ||
| + | DlpFileEvent" Время старта DLP Guard | ||
| + | [EndTime] datetime "DlpTimeworkEvent | ||
| + | DlpRegistryEvent | ||
| + | DlpFileEvent" Время окончания DLP Guard | ||
| + | [ScreenGuid] uniqueidentifier DlpVideoEvent Для использования в процессе работы программ модуля Уникальный ID видеозаписи DLP Guard | ||
| + | [TaskID] int Для использования в процессе работы программ модуля Для использования в процессе работы программ модуля DLP Guard | ||
| + | [ProcessPath] nvarchar(max) "DlpAttachEvent | ||
| + | DlpFileEvent | ||
| + | DLPHttpEvent | ||
| + | DlpKeyLoggerEvent | ||
| + | DlpPrintEvent | ||
| + | DlpRegistryEvent | ||
| + | DlpAddedHardwareEvent | ||
| + | DlpRemovedHardwareEvent | ||
| + | DlpTimeworkEvent" Путь к процессу DLP Guard | ||
| + | [ProcessDesc] nvarchar(max) "DlpAttachEvent | ||
| + | DlpFileEvent | ||
| + | DLPHttpEvent | ||
| + | DlpKeyLoggerEvent | ||
| + | DlpPrintEvent | ||
| + | DlpRegistryEvent | ||
| + | DlpAddedHardwareEvent | ||
| + | DlpRemovedHardwareEvent | ||
| + | DlpTimeworkEvent" Описание процесса DLP Guard | ||
| + | [Ip] nvarchar(max) DlpHttpEvent IP DLP Guard | ||
| + | [Url] nvarchar(max) DlpHttpEvent URL DLP Guard | ||
| + | [FileIndex] nvarchar(max) Для использования в процессе работы программ модуля Для использования в процессе работы программ модуля DLP Guard | ||
| + | [Header] nvarchar(max) DlpHttpEvent Заголовок Заголовок HTTP для события типа HTTP DLP Guard | ||
| + | [AccessMask] int "DlpFileEvent | ||
| + | DlpRegistryEvent" Маска доступа DLP Guard | ||
| + | [BackupFileName] nvarchar(max) "DlpFileEvent | ||
| + | DlpRegistryEvent" Резервная копия DLP Guard | ||
| + | [DeviceId] nvarchar(max) "DlpAddedHardwareEvent | ||
| + | DlpRemovedHardwareEvent" ID устройства DLP Guard | ||
| + | [DeviceClass] nvarchar(max) Класс устройства DLP Guard | ||
| + | [DeviceDesc] nvarchar(max) Описание устройства DLP Guard | ||
| + | [AttachPath] nvarchar(max) DlpAttachEvent Путь к файлу-вложению в письмо DLP Guard | ||
| + | [FilePath] nvarchar(max) DlpFileEvent Путь к файлу DLP Guard | ||
| + | [DriveType] int DlpFileEvent Тип диска "Тип носителя, на котором располагается наблюдаемый каталог или файл для события типа файл: локальный диск, съемный диск | ||
| + | " DLP Guard | ||
| + | [KeyLoggerTime] datetime DlpKeyLoggerEvent Время записи события DLP Guard | ||
| + | [KeyLoggerData] nvarchar(max) DlpKeyLoggerEvent Записанные данные DLP Guard | ||
| + | [Error] int DLP Guard | ||
| + | [PrinterName] nvarchar(max) DlpPrintEvent Имя принтера DLP Guard | ||
Версия 17:37, 15 февраля 2021
| Поле | Тип поля | Для каких типов событий поле определено | Описание поля | Значения | Описание значения | Примечание | Тип клиента |
|---|---|---|---|---|---|---|---|
| [ID] | int | Для всех | ID события в базе | SysWatch, DLP Client | |||
| [OccurrenceTime] | datetime | Для всех | Время события | SysWatch, DLP Client | |||
| [Importance] | int | Для всех | Важность | 0 | Обычная | SysWatch, DLP Client | |
| 1 | Высокая | ||||||
| 2 | Критичная | ||||||
| [ClientID] | int | Для всех | Уникальный ID устройства | SysWatch, DLP Client | |||
| [EventId] | bigint | Для всех | Идентификатор события | -1 | Клиент недоступен | SysWatch, DLP Client | |
| -2 | Клиент был недоступен, но пришел хартбит от клиента | ||||||
| >= 1 | Внутренний идентификатор события на клиенте (последовательно увеличивающееся значение) | ||||||
| [ID][ErrorText] | nvarchar(max) | VirusScanEvent | Ошибка | SysWatch, DLP Client | |||
| [ActionStringID] | nvarchar(max) | ChangingSettingsEvent | Строка, идентифицирующая действие | SETTINGS_CHANGED_BY_SERVER | Настройки изменены сервером | В таблице приведены не все действия, в будущих версиях список может расширяться | SysWatch |
| SETTINGS_CHANGED_BY_USER | Настройки изменены локально | ||||||
| VirusScanEvent | SCAN_START | Запуск сканера | |||||
| SCAN_FINISH | Завершение сканирования | ||||||
| BUILD_PROFILE_BEGIN | Запуск сбора профиля | ||||||
| BUILD_PROFILE_ERROR | Ошибка сбора профиля | ||||||
| BUILD_PROFILE_DONE | Профиль собран | ||||||
| UpdateEvent | UPDATE_START | Запуск обновлений | |||||
| UPDATE_FINISHED | Обновление завершено | ||||||
| PolicyViolationEvent | PV_DIR_OPEN | Открытие каталога | |||||
| PV_DIR_REMOVE | Удаление каталога | ||||||
| PV_FILE_CHANGE | Изменение файла | ||||||
| PV_FILE_DELETE | Удаление файла | ||||||
| PV_FILE_READ | Чтение файла | ||||||
| PV_FILE_RENAME | Переименование файла | ||||||
| PV_REG_KEY_CREATE | Создание ключа реестра | ||||||
| PV_REG_KEY_REMOVE | Удаление ключа реестра | ||||||
| PV_REG_VALUE_CHANGE | Изменение значения реестра | ||||||
| PV_REG_VALUE_REMOVE | Удаление значения реестра | ||||||
| PV_BAD_PSSWD_ENTERED | Введен неверный пароль | ||||||
| PV_PE_CHANGE | Модификация исполняемого файла | ||||||
| PV_REG_KEY_CHANGE | Модификация ключа реестра | ||||||
| PV_NET_INBOUND | Попытка принять входящее соединение | ||||||
| PV_NET_OUTBOUND | Попытка установить исходящее соединение | ||||||
| PV_IMAGE_LOAD | Загрузка DLL модуля | ||||||
| [ActionStatusStringID] | nvarchar(max) | VirusScanEvent | Строка, указывающая дополнительную информацию о действии | SCAN_START_SUCCESS | Сканер запущен | SysWatch | |
| SCAN_START_ERROR | Ошибка при запуске сканера | ||||||
| SCAN_OBJECT_OK | Успешно | ||||||
| SCAN_OBJECT_FAILED | Неудачно | ||||||
| SCAN_FINISH_STOPPED | Сканер был остановлен | ||||||
| UpdateEvent | UPDATE_START_SUCCESS | Процесс обновления запущен | |||||
| UPDATE_START_ERROR | Ошибка запуска | ||||||
| UPDATE_FINISHED_INTERRUPT_BY_USER | Обновление прервано пользователем | ||||||
| UPDATE_FINISHED_ERROR | Обновление завершено с ошибками | ||||||
| UPDATE_FINISHED_INFO_NOT_FOUND | Новых обновлений не найдено | ||||||
| UPDATE_FINISHED_NEED_REBOOT | Нужна перезагрузка системы | ||||||
| UPDATE_FINISHED_INSTALL_SUCCESS | Обновления успешно установлены | ||||||
| [BinaryPath] | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Исполняемый файл | SysWatch | |||
| [CommandLine] | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Командная строка процесса | SysWatch | |||
| [User] | nvarchar(max) | ChangingSettingsEvent ProcessLaunchEvent | Пользователь | SysWatch, DLP Client | |||
| [DecisionStringID] | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Решение | DENY | Запрещен | SysWatch | |
| ALLOW | Разрешен | ||||||
| [Pid] | int | ProcessLaunchEvent | Идентификатор процесса | SysWatch | |||
| [ParentPid] | int | ProcessLaunchEvent | Идентификатор родительского процесса | SysWatch | |||
| [ParentProcess] | nvarchar(max) | ProcessLaunchEvent | Родительский процесс | SysWatch | |||
| [ZoneStringID] | nvarchar(max) | ProcessLaunchEvent | Зона | ENTERPRISE_ZONE_ID_BLOCKED | заблокированные | SysWatch | |
| ENTERPRISE_ZONE_ID_DEFAULT | по умолчанию | ||||||
| ENTERPRISE_ZONE_ID_PROTECTED | защищенные | не используется в текущей версии | |||||
| ENTERPRISE_ZONE_ID_RESTRICTED | ограниченные | не используется в текущей версии | |||||
| ENTERPRISE_ZONE_ID_TRUSTED | доверенные | ||||||
| ENTERPRISE_ZONE_ID_UNKNOWN | неизвестные | не используется в текущей версии | |||||
| [CheckedObjectsCount] | int | VirusScanEvent | Проверено объектов | SysWatch | |||
| [NumberOfThreatsFound] | int | VirusScanEvent | Угроз найдено | SysWatch | |||
| [NumberOfThreatsNeutralized] | int | VirusScanEvent | Угроз обезврежено | SysWatch | |||
| [FSControl] | nvarchar(max) | ActivityControlEvent | Контроль файловой системы | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| [RegistryControl] | nvarchar(max) | ActivityControlEvent | Контроль системного реестра | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| [NetworkControl] | nvarchar(max) | ActivityControlEvent | Контроль сети | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| [StatusStringID] | nvarchar(max) | StatusEvent | Статус клиента | ENTERPRISE_STATUS_INACTIVE | Остановлен | Syswatch, DLP | |
| ENTERPRISE_STATUS_ACTIVE | Активен | ||||||
| ENTERPRISE_STATUS_PENDING | Ожидает решения | ||||||
| ENTERPRISE_STATUS_INVALID | Ошибка | ||||||
| [UserLogoffName] | nvarchar(max) | UserLogoffEvent | Имя вышедшего пользователя | Syswatch, DLP | |||
| [UserLogonName] | nvarchar(max) | UserLogonEvent | Имя вошедшего пользователя | Syswatch, DLP |
