Information about SoftControl events — различия между версиями
EElagina (обсуждение | вклад) |
EElagina (обсуждение | вклад) |
||
| Строка 159: | Строка 159: | ||
|- | |- | ||
| [UserLogonName] || nvarchar(max) || UserLogonEvent || Имя вошедшего пользователя || || || || Syswatch, DLP | | [UserLogonName] || nvarchar(max) || UserLogonEvent || Имя вошедшего пользователя || || || || Syswatch, DLP | ||
| + | |-style="background: papayawhip" | ||
| + | | rowspan="25" | [__Disc__] || rowspan="25" | nvarchar(max) || rowspan="25" | Для всех || rowspan="25" | Тип события || 0 || UnknownEvent || Неизвестное событие (ошибка) || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 1 || ProcessLaunchEvent || Запуск процесса || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | |2 || VirusScanEvent || Антивирус || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 3 || UpdateEvent || Обновление клиента || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 4 || ActivityControlEvent || Контроль активности || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 5 || UserLogonEvent || Вход пользователя || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 6 || UserLogoffEvent || Выход пользователя || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 7 || PolicyViolationEvent || Нарушение политики контроля || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 8 || ChangingSettingsEvent || Изменение настроек || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 9 || DlpRegistryEvent || [DLP] Наблюдение за реестром || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 10 || DlpPrintEvent || [DLP] Наблюдение за печатью || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 11 || DlpHttpEvent || [DLP] Наблюдение за HTTP трафиком || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 12 || DlpFileEvent || [DLP] Наблюдение за файлами || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 13 || DlpAttachEvent || [DLP] Наблюдение за вложениями в email || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 14 || DlpKeyLoggerEvent || [DLP] Наблюдение за вводом с клавиатуры || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 15 || DlpAddedHardwareEvent || [DLP] Присоеденино USB устройство || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 16 || DlpRemovedHardwareEvent || [DLP] Удалено USB устройство || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 17 || DlpTimeworkEvent || [DLP] Время работы с приложением || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 19 || StatusEvent || Статус клиента || Syswatch, DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 21 || ServicesEvent || Событие службы || Syswatch | ||
| + | |-style="background: papayawhip" | ||
| + | | 22 || DlpVideoEvent || [DLP] Запись видео || DLP Client | ||
| + | |-style="background: papayawhip" | ||
| + | | 23 || DeCryptEvent || [DECRYPT] || Событие DeCrypt || DeCrypt | ||
| + | |-style="background: papayawhip" | ||
| + | | 24 || ProcessMonitoringEvent || События проверки факта работы заданного набора процессов | ||
| + | |-style="background: papayawhip" | ||
| + | | 25 || UnderDebuggingEvent || Попытка отладки службы | ||
| + | |-style="background: papayawhip" | ||
| + | | 26 || EmergencySituationEvent || Нештатная ситуация на клиенте | ||
|- | |- | ||
| − | [ | + | | rowspan="2" | [AppControl] || rowspan="2" | nvarchar(max) || rowspan="2" | ActivityControlEvent || rowspan="2" | Контроль приложений || CTRL_ACTIVITY_ACTIVE || Активно || || SysWatch |
| − | + | |- | |
| − | + | | CTRL_ACTIVITY_INACTIVE || Неактивно || | |
| − | + | |-style="background: papayawhip" | |
| − | + | | [ServiceName] || nvarchar(max) || ServicesEvent || Имя службы || || || || SysWatch | |
| − | + | |- | |
| − | + | [DisplayName] || nvarchar(max) || ServicesEvent || Отображаемое имя службы || || || || SysWatch | |
| − | + | |- | |
| − | + | [ServiceEvent] || int || ServicesEvent || Событие службы || 0 || Служба была запущена || SysWatch | |
| − | + | 1 || Служба была остановлена | |
| − | + | 2 || Служба была запущена ранее | |
| − | + | |- | |
| − | + | [PrintDesc] || nvarchar(max) || PolicyViolationEvent || Детали || (номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)") || SysWatch | |
| − | + | |- | |
| − | + | [TimeZoneFlag] || tinyint || Для всех || Служебный флаг для разового пересчёта времени из локального в UTC || NULL || Не пересчитанное время (локальное) | |
| − | + | 1 || Новое время (UTC) | |
| − | + | 2 || Пересчитанное время (UTC) | |
| − | + | |- | |
| − | + | [Flags] || bigint || - || Служебный флаг для разового пересчёта времени из локального в UTC | |
| − | + | |- | |
| − | + | [RegistryPath] || nvarchar(max) || DlpRegistryEvent || Ветка реестра || DLP Client | |
| − | + | |- | |
| − | + | [StartTime] || datetime || DlpTimeworkEvent DlpRegistryEvent DlpFileEvent || Время старта || DLP Client | |
| − | + | [EndTime] || datetime || DlpTimeworkEvent DlpRegistryEvent DlpFileEvent || Время окончания || DLP Client | |
| − | + | |- | |
| − | + | [ScreenGuid] || uniqueidentifier || DlpVideoEvent || Для использования в процессе работы программ модуля || Уникальный ID видеозаписи || DLP Client | |
| − | + | |- | |
| − | + | [TaskID] || int || Для использования в процессе работы программ модуля || Для использования в процессе работы программ модуля || DLP Client | |
| − | [ServiceName] nvarchar(max) ServicesEvent Имя службы | + | |- |
| − | [DisplayName] nvarchar(max) ServicesEvent Отображаемое имя службы | + | [ProcessPath] || nvarchar(max) || DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent || Путь к процессу || DLP Client |
| − | [ServiceEvent] int ServicesEvent Событие службы 0 Служба была запущена | + | [ProcessDesc] || nvarchar(max) || DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent || Описание процесса || DLP Client |
| − | 1 Служба была остановлена | + | |- |
| − | 2 Служба была запущена ранее | + | [Ip] || nvarchar(max) || DlpHttpEvent || IP || DLP Client |
| − | [PrintDesc] nvarchar(max) PolicyViolationEvent Детали | + | |- |
| − | [TimeZoneFlag] tinyint Для всех Служебный флаг для разового пересчёта времени из локального в UTC NULL Не пересчитанное время (локальное) | + | [Url] || nvarchar(max) || DlpHttpEvent || URL || DLP Client |
| − | 1 Новое время (UTC) | + | |- |
| − | 2 Пересчитанное время (UTC) | + | [FileIndex] || nvarchar(max) || Для использования в процессе работы программ модуля || Для использования в процессе работы программ модуля || DLP Client |
| − | [Flags] bigint - Служебный флаг для разового пересчёта времени из локального в UTC | + | |- |
| − | [RegistryPath] nvarchar(max) DlpRegistryEvent Ветка реестра | + | [Header] || nvarchar(max) || DlpHttpEvent || Заголовок || Заголовок HTTP для события типа HTTP || DLP Client |
| − | [StartTime] datetime | + | |- |
| − | DlpRegistryEvent | + | [AccessMask] || int || DlpFileEvent DlpRegistryEvent || Маска доступа || DLP Client |
| − | DlpFileEvent | + | |- |
| − | [EndTime] datetime | + | [BackupFileName] || nvarchar(max) || DlpFileEvent DlpRegistryEvent || Резервная копия || DLP Client |
| − | DlpRegistryEvent | + | |- |
| − | DlpFileEvent | + | [DeviceId] || nvarchar(max) || DlpAddedHardwareEvent DlpRemovedHardwareEvent || ID устройства || DLP Client |
| − | [ScreenGuid] uniqueidentifier DlpVideoEvent Для использования в процессе работы программ модуля | + | |- |
| − | [TaskID] int | + | [DeviceClass] || nvarchar(max) || Класс устройства || DLP Client |
| − | [ProcessPath] nvarchar(max) | + | |- |
| − | DlpFileEvent | + | [DeviceDesc] || nvarchar(max) || Описание устройства || DLP Client |
| − | DLPHttpEvent | + | |- |
| − | DlpKeyLoggerEvent | + | [AttachPath || nvarchar(max) || DlpAttachEvent || Путь к файлу-вложению в письмо || DLP Client |
| − | DlpPrintEvent | + | |- |
| − | DlpRegistryEvent | + | [FilePath] || nvarchar(max) || DlpFileEvent || Путь к файлу || DLP Client |
| − | DlpAddedHardwareEvent | + | |- |
| − | DlpRemovedHardwareEvent | + | [DriveType] || int || DlpFileEvent || Тип диска || Тип носителя, на котором располагается наблюдаемый каталог или файл для события типа файл: локальный диск, съемный диск || DLP Client |
| − | DlpTimeworkEvent | + | |- |
| − | [ProcessDesc] nvarchar(max) | + | [KeyLoggerTime] || datetime || DlpKeyLoggerEvent || Время записи события || DLP Client |
| − | DlpFileEvent | + | |- |
| − | DLPHttpEvent | + | [KeyLoggerData] || nvarchar(max) || DlpKeyLoggerEvent || Записанные данные || DLP Client |
| − | DlpKeyLoggerEvent | + | |- |
| − | DlpPrintEvent | + | [Error] || int || DLP Client |
| − | DlpRegistryEvent | + | |- |
| − | DlpAddedHardwareEvent | + | [PrinterName] || nvarchar(max) || DlpPrintEvent || Имя принтера || DLP Client |
| − | DlpRemovedHardwareEvent | ||
| − | DlpTimeworkEvent | ||
| − | [Ip] nvarchar(max) DlpHttpEvent IP | ||
| − | [Url] nvarchar(max) DlpHttpEvent URL | ||
| − | [FileIndex] nvarchar(max) | ||
| − | [Header] nvarchar(max) DlpHttpEvent Заголовок | ||
| − | [AccessMask] int | ||
| − | DlpRegistryEvent | ||
| − | [BackupFileName] nvarchar(max) | ||
| − | DlpRegistryEvent | ||
| − | [DeviceId] nvarchar(max) | ||
| − | DlpRemovedHardwareEvent | ||
| − | [DeviceClass] nvarchar(max) | ||
| − | [DeviceDesc] nvarchar(max) | ||
| − | [AttachPath | ||
| − | [FilePath] nvarchar(max) DlpFileEvent Путь к файлу | ||
| − | [DriveType] int DlpFileEvent Тип диска | ||
| − | |||
| − | [KeyLoggerTime] datetime DlpKeyLoggerEvent Время записи события | ||
| − | [KeyLoggerData] nvarchar(max) DlpKeyLoggerEvent Записанные данные | ||
| − | [Error] int | ||
| − | [PrinterName] nvarchar(max) DlpPrintEvent Имя принтера | ||
Версия 18:37, 15 февраля 2021
| Поле | Тип поля | Для каких типов событий поле определено | Описание поля | Значения | Описание значения | Примечание | Тип клиента |
|---|---|---|---|---|---|---|---|
| [ID] | int | Для всех | ID события в базе | SysWatch, DLP Client | |||
| [OccurrenceTime] | datetime | Для всех | Время события | SysWatch, DLP Client | |||
| [Importance] | int | Для всех | Важность | 0 | Обычная | SysWatch, DLP Client | |
| 1 | Высокая | ||||||
| 2 | Критичная | ||||||
| [ClientID] | int | Для всех | Уникальный ID устройства | SysWatch, DLP Client | |||
| [EventId] | bigint | Для всех | Идентификатор события | -1 | Клиент недоступен | SysWatch, DLP Client | |
| -2 | Клиент был недоступен, но пришел хартбит от клиента | ||||||
| >= 1 | Внутренний идентификатор события на клиенте (последовательно увеличивающееся значение) | ||||||
| [ID][ErrorText] | nvarchar(max) | VirusScanEvent | Ошибка | SysWatch, DLP Client | |||
| [ActionStringID] | nvarchar(max) | ChangingSettingsEvent | Строка, идентифицирующая действие | SETTINGS_CHANGED_BY_SERVER | Настройки изменены сервером | В таблице приведены не все действия, в будущих версиях список может расширяться | SysWatch |
| SETTINGS_CHANGED_BY_USER | Настройки изменены локально | ||||||
| VirusScanEvent | SCAN_START | Запуск сканера | |||||
| SCAN_FINISH | Завершение сканирования | ||||||
| BUILD_PROFILE_BEGIN | Запуск сбора профиля | ||||||
| BUILD_PROFILE_ERROR | Ошибка сбора профиля | ||||||
| BUILD_PROFILE_DONE | Профиль собран | ||||||
| UpdateEvent | UPDATE_START | Запуск обновлений | |||||
| UPDATE_FINISHED | Обновление завершено | ||||||
| PolicyViolationEvent | PV_DIR_OPEN | Открытие каталога | |||||
| PV_DIR_REMOVE | Удаление каталога | ||||||
| PV_FILE_CHANGE | Изменение файла | ||||||
| PV_FILE_DELETE | Удаление файла | ||||||
| PV_FILE_READ | Чтение файла | ||||||
| PV_FILE_RENAME | Переименование файла | ||||||
| PV_REG_KEY_CREATE | Создание ключа реестра | ||||||
| PV_REG_KEY_REMOVE | Удаление ключа реестра | ||||||
| PV_REG_VALUE_CHANGE | Изменение значения реестра | ||||||
| PV_REG_VALUE_REMOVE | Удаление значения реестра | ||||||
| PV_BAD_PSSWD_ENTERED | Введен неверный пароль | ||||||
| PV_PE_CHANGE | Модификация исполняемого файла | ||||||
| PV_REG_KEY_CHANGE | Модификация ключа реестра | ||||||
| PV_NET_INBOUND | Попытка принять входящее соединение | ||||||
| PV_NET_OUTBOUND | Попытка установить исходящее соединение | ||||||
| PV_IMAGE_LOAD | Загрузка DLL модуля | ||||||
| [ActionStatusStringID] | nvarchar(max) | VirusScanEvent | Строка, указывающая дополнительную информацию о действии | SCAN_START_SUCCESS | Сканер запущен | SysWatch | |
| SCAN_START_ERROR | Ошибка при запуске сканера | ||||||
| SCAN_OBJECT_OK | Успешно | ||||||
| SCAN_OBJECT_FAILED | Неудачно | ||||||
| SCAN_FINISH_STOPPED | Сканер был остановлен | ||||||
| UpdateEvent | UPDATE_START_SUCCESS | Процесс обновления запущен | |||||
| UPDATE_START_ERROR | Ошибка запуска | ||||||
| UPDATE_FINISHED_INTERRUPT_BY_USER | Обновление прервано пользователем | ||||||
| UPDATE_FINISHED_ERROR | Обновление завершено с ошибками | ||||||
| UPDATE_FINISHED_INFO_NOT_FOUND | Новых обновлений не найдено | ||||||
| UPDATE_FINISHED_NEED_REBOOT | Нужна перезагрузка системы | ||||||
| UPDATE_FINISHED_INSTALL_SUCCESS | Обновления успешно установлены | ||||||
| [BinaryPath] | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Исполняемый файл | SysWatch | |||
| [CommandLine] | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Командная строка процесса | SysWatch | |||
| [User] | nvarchar(max) | ChangingSettingsEvent ProcessLaunchEvent | Пользователь | SysWatch, DLP Client | |||
| [DecisionStringID] | nvarchar(max) | PolicyViolationEvent ProcessLaunchEvent | Решение | DENY | Запрещен | SysWatch | |
| ALLOW | Разрешен | ||||||
| [Pid] | int | ProcessLaunchEvent | Идентификатор процесса | SysWatch | |||
| [ParentPid] | int | ProcessLaunchEvent | Идентификатор родительского процесса | SysWatch | |||
| [ParentProcess] | nvarchar(max) | ProcessLaunchEvent | Родительский процесс | SysWatch | |||
| [ZoneStringID] | nvarchar(max) | ProcessLaunchEvent | Зона | ENTERPRISE_ZONE_ID_BLOCKED | заблокированные | SysWatch | |
| ENTERPRISE_ZONE_ID_DEFAULT | по умолчанию | ||||||
| ENTERPRISE_ZONE_ID_PROTECTED | защищенные | не используется в текущей версии | |||||
| ENTERPRISE_ZONE_ID_RESTRICTED | ограниченные | не используется в текущей версии | |||||
| ENTERPRISE_ZONE_ID_TRUSTED | доверенные | ||||||
| ENTERPRISE_ZONE_ID_UNKNOWN | неизвестные | не используется в текущей версии | |||||
| [CheckedObjectsCount] | int | VirusScanEvent | Проверено объектов | SysWatch | |||
| [NumberOfThreatsFound] | int | VirusScanEvent | Угроз найдено | SysWatch | |||
| [NumberOfThreatsNeutralized] | int | VirusScanEvent | Угроз обезврежено | SysWatch | |||
| [FSControl] | nvarchar(max) | ActivityControlEvent | Контроль файловой системы | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| [RegistryControl] | nvarchar(max) | ActivityControlEvent | Контроль системного реестра | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| [NetworkControl] | nvarchar(max) | ActivityControlEvent | Контроль сети | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| [StatusStringID] | nvarchar(max) | StatusEvent | Статус клиента | ENTERPRISE_STATUS_INACTIVE | Остановлен | Syswatch, DLP | |
| ENTERPRISE_STATUS_ACTIVE | Активен | ||||||
| ENTERPRISE_STATUS_PENDING | Ожидает решения | ||||||
| ENTERPRISE_STATUS_INVALID | Ошибка | ||||||
| [UserLogoffName] | nvarchar(max) | UserLogoffEvent | Имя вышедшего пользователя | Syswatch, DLP | |||
| [UserLogonName] | nvarchar(max) | UserLogonEvent | Имя вошедшего пользователя | Syswatch, DLP | |||
| [__Disc__] | nvarchar(max) | Для всех | Тип события | 0 | UnknownEvent | Неизвестное событие (ошибка) | Syswatch |
| 1 | ProcessLaunchEvent | Запуск процесса | Syswatch | ||||
| 2 | VirusScanEvent | Антивирус | Syswatch | ||||
| 3 | UpdateEvent | Обновление клиента | Syswatch | ||||
| 4 | ActivityControlEvent | Контроль активности | Syswatch | ||||
| 5 | UserLogonEvent | Вход пользователя | Syswatch | ||||
| 6 | UserLogoffEvent | Выход пользователя | Syswatch | ||||
| 7 | PolicyViolationEvent | Нарушение политики контроля | Syswatch | ||||
| 8 | ChangingSettingsEvent | Изменение настроек | Syswatch | ||||
| 9 | DlpRegistryEvent | [DLP] Наблюдение за реестром | DLP Client | ||||
| 10 | DlpPrintEvent | [DLP] Наблюдение за печатью | DLP Client | ||||
| 11 | DlpHttpEvent | [DLP] Наблюдение за HTTP трафиком | DLP Client | ||||
| 12 | DlpFileEvent | [DLP] Наблюдение за файлами | DLP Client | ||||
| 13 | DlpAttachEvent | [DLP] Наблюдение за вложениями в email | DLP Client | ||||
| 14 | DlpKeyLoggerEvent | [DLP] Наблюдение за вводом с клавиатуры | DLP Client | ||||
| 15 | DlpAddedHardwareEvent | [DLP] Присоеденино USB устройство | DLP Client | ||||
| 16 | DlpRemovedHardwareEvent | [DLP] Удалено USB устройство | DLP Client | ||||
| 17 | DlpTimeworkEvent | [DLP] Время работы с приложением | DLP Client | ||||
| 19 | StatusEvent | Статус клиента | Syswatch, DLP Client | ||||
| 21 | ServicesEvent | Событие службы | Syswatch | ||||
| 22 | DlpVideoEvent | [DLP] Запись видео | DLP Client | ||||
| 23 | DeCryptEvent | [DECRYPT] | Событие DeCrypt | DeCrypt | |||
| 24 | ProcessMonitoringEvent | События проверки факта работы заданного набора процессов | |||||
| 25 | UnderDebuggingEvent | Попытка отладки службы | |||||
| 26 | EmergencySituationEvent | Нештатная ситуация на клиенте | |||||
| [AppControl] | nvarchar(max) | ActivityControlEvent | Контроль приложений | CTRL_ACTIVITY_ACTIVE | Активно | SysWatch | |
| CTRL_ACTIVITY_INACTIVE | Неактивно | ||||||
| [ServiceName] | nvarchar(max) | ServicesEvent | Имя службы | SysWatch |
