Информация о событиях SoftControl

Материал из SafenSoft Wiki
Перейти к: навигация, поиск

События в базе данных хранятся в трех таблицах:

  • События типа Event (события клиентских устройств) хранятся в таблице Events (поля таблицы описаны ниже).
  • События типа SecurityEvent (события по управлению системой SoftControl) хранятся в таблице SecurityEvents.
  • События типа EventLog (события из журналов Windows) хранятся в таблице EventLogs.

Таблица. Описание полей таблицы Events

Поле Тип поля Для каких типов событий поле определено Описание поля Значения Описание значения Примечание Тип клиента
[ID] int Для всех ID события в базе SysWatch, DLP Client
[OccurrenceTime] datetime Для всех Время события SysWatch, DLP Client
[Importance] int Для всех Важность 0 Обычная SysWatch, DLP Client
1 Высокая
2 Критичная
[ClientID] int Для всех Уникальный ID устройства SysWatch, DLP Client
[EventId] bigint Для всех Идентификатор события -1 Клиент недоступен SysWatch, DLP Client
-2 Клиент был недоступен, но пришел хартбит от клиента
>= 1 Внутренний идентификатор события на клиенте (последовательно увеличивающееся значение)
[ErrorText] nvarchar(max) VirusScanEvent Ошибка SysWatch, DLP Client
[ActionStringID] nvarchar(max) ChangingSettingsEvent Строка, идентифицирующая действие SETTINGS_CHANGED_BY_SERVER Настройки изменены сервером В таблице приведены не все действия, в будущих версиях список может расширяться SysWatch
SETTINGS_CHANGED_BY_USER Настройки изменены локально
VirusScanEvent SCAN_START Запуск сканера
SCAN_FINISH Завершение сканирования
BUILD_PROFILE_BEGIN Запуск сбора профиля
BUILD_PROFILE_ERROR Ошибка сбора профиля
BUILD_PROFILE_DONE Профиль собран
UpdateEvent UPDATE_START Запуск обновлений
UPDATE_FINISHED Обновление завершено
PolicyViolationEvent PV_DIR_OPEN Открытие каталога
PV_DIR_REMOVE Удаление каталога
PV_FILE_CHANGE Изменение файла
PV_FILE_DELETE Удаление файла
PV_FILE_READ Чтение файла
PV_FILE_RENAME Переименование файла
PV_REG_KEY_CREATE Создание ключа реестра
PV_REG_KEY_REMOVE Удаление ключа реестра
PV_REG_VALUE_CHANGE Изменение значения реестра
PV_REG_VALUE_REMOVE Удаление значения реестра
PV_BAD_PSSWD_ENTERED Введен неверный пароль
PV_PE_CHANGE Модификация исполняемого файла
PV_REG_KEY_CHANGE Модификация ключа реестра
PV_NET_INBOUND Попытка принять входящее соединение
PV_NET_OUTBOUND Попытка установить исходящее соединение
PV_IMAGE_LOAD Загрузка DLL модуля
[ActionStatusStringID] nvarchar(max) VirusScanEvent Строка, указывающая дополнительную информацию о действии SCAN_START_SUCCESS Сканер запущен SysWatch
SCAN_START_ERROR Ошибка при запуске сканера
SCAN_OBJECT_OK Успешно
SCAN_OBJECT_FAILED Неудачно
SCAN_FINISH_STOPPED Сканер был остановлен
UpdateEvent UPDATE_START_SUCCESS Процесс обновления запущен
UPDATE_START_ERROR Ошибка запуска
UPDATE_FINISHED_INTERRUPT_BY_USER Обновление прервано пользователем
UPDATE_FINISHED_ERROR Обновление завершено с ошибками
UPDATE_FINISHED_INFO_NOT_FOUND Новых обновлений не найдено
UPDATE_FINISHED_NEED_REBOOT Нужна перезагрузка системы
UPDATE_FINISHED_INSTALL_SUCCESS Обновления успешно установлены
[BinaryPath] nvarchar(max) PolicyViolationEvent ProcessLaunchEvent Исполняемый файл SysWatch
[CommandLine] nvarchar(max) PolicyViolationEvent ProcessLaunchEvent Командная строка процесса SysWatch
[User] nvarchar(max) ChangingSettingsEvent ProcessLaunchEvent Пользователь SysWatch, DLP Client
[DecisionStringID] nvarchar(max) PolicyViolationEvent ProcessLaunchEvent Решение DENY Запрещен SysWatch
ALLOW Разрешен
[Pid] int ProcessLaunchEvent Идентификатор процесса SysWatch
[ParentPid] int ProcessLaunchEvent Идентификатор родительского процесса SysWatch
[ParentProcess] nvarchar(max) ProcessLaunchEvent Родительский процесс SysWatch
[ZoneStringID] nvarchar(max) ProcessLaunchEvent Зона ENTERPRISE_ZONE_ID_BLOCKED заблокированные SysWatch
ENTERPRISE_ZONE_ID_DEFAULT по умолчанию
ENTERPRISE_ZONE_ID_PROTECTED защищенные не используется в текущей версии
ENTERPRISE_ZONE_ID_RESTRICTED ограниченные не используется в текущей версии
ENTERPRISE_ZONE_ID_TRUSTED доверенные
ENTERPRISE_ZONE_ID_UNKNOWN неизвестные не используется в текущей версии
[CheckedObjectsCount] int VirusScanEvent Проверено объектов SysWatch
[NumberOfThreatsFound] int VirusScanEvent Угроз найдено SysWatch
[NumberOfThreatsNeutralized] int VirusScanEvent Угроз обезврежено SysWatch
[EmbeddedCertificatesCount] int VirusScanEvent Встроенные сертификаты SysWatch
[CatalogCertificatesCount] int VirusScanEvent Сертификаты каталогов SysWatch
[FSControl] nvarchar(max) ActivityControlEvent Контроль файловой системы CTRL_ACTIVITY_ACTIVE Активно SysWatch
CTRL_ACTIVITY_INACTIVE Неактивно
[RegistryControl] nvarchar(max) ActivityControlEvent Контроль системного реестра CTRL_ACTIVITY_ACTIVE Активно SysWatch
CTRL_ACTIVITY_INACTIVE Неактивно
[NetworkControl] nvarchar(max) ActivityControlEvent Контроль сети CTRL_ACTIVITY_ACTIVE Активно SysWatch
CTRL_ACTIVITY_INACTIVE Неактивно
[StatusStringID] nvarchar(max) StatusEvent Статус клиента ENTERPRISE_STATUS_INACTIVE Остановлен Syswatch, DLP
ENTERPRISE_STATUS_ACTIVE Активен
ENTERPRISE_STATUS_PENDING Ожидает решения
ENTERPRISE_STATUS_INVALID Ошибка
[UserLogoffName] nvarchar(max) UserLogoffEvent Имя вышедшего пользователя Syswatch, DLP
[UserLogonName] nvarchar(max) UserLogonEvent Имя вошедшего пользователя Syswatch, DLP
[__Disc__] nvarchar(max) Для всех Тип события 0 UnknownEvent Неизвестное событие (ошибка) Syswatch
1 ProcessLaunchEvent Запуск процесса Syswatch
2 VirusScanEvent Антивирус Syswatch
3 UpdateEvent Обновление клиента Syswatch
4 ActivityControlEvent Контроль активности Syswatch
5 UserLogonEvent Вход пользователя Syswatch
6 UserLogoffEvent Выход пользователя Syswatch
7 PolicyViolationEvent Нарушение политики контроля Syswatch
8 ChangingSettingsEvent Изменение настроек Syswatch
9 DlpRegistryEvent [DLP] Наблюдение за реестром DLP Client
10 DlpPrintEvent [DLP] Наблюдение за печатью DLP Client
11 DlpHttpEvent [DLP] Наблюдение за HTTP трафиком DLP Client
12 DlpFileEvent [DLP] Наблюдение за файлами DLP Client
13 DlpAttachEvent [DLP] Наблюдение за вложениями в email DLP Client
14 DlpKeyLoggerEvent [DLP] Наблюдение за вводом с клавиатуры DLP Client
15 DlpAddedHardwareEvent [DLP] Присоеденино USB устройство DLP Client
16 DlpRemovedHardwareEvent [DLP] Удалено USB устройство DLP Client
17 DlpTimeworkEvent [DLP] Время работы с приложением DLP Client
19 StatusEvent Статус клиента Syswatch, DLP Client
21 ServicesEvent Событие службы Syswatch
22 DlpVideoEvent [DLP] Запись видео DLP Client
23 DeCryptEvent [DECRYPT] Событие DeCrypt DeCrypt
24 ProcessMonitoringEvent События проверки факта работы заданного набора процессов
25 UnderDebuggingEvent Попытка отладки службы
26 EmergencySituationEvent Нештатная ситуация на клиенте
[AppControl] nvarchar(max) ActivityControlEvent Контроль приложений CTRL_ACTIVITY_ACTIVE Активно SysWatch
CTRL_ACTIVITY_INACTIVE Неактивно
[ServiceName] nvarchar(max) ServicesEvent Имя службы SysWatch
[DisplayName] nvarchar(max) ServicesEvent Отображаемое имя службы SysWatch
[ServiceEvent] int ServicesEvent Событие службы 0 Служба была запущена SysWatch
1 Служба была остановлена
2 Служба была запущена ранее
[PrintDesc] nvarchar(max) PolicyViolationEvent Детали Номер правила политики контроля, маска доступа, в отдельный случаях "(unknown ace)" SysWatch
[TimeZoneFlag] tinyint Для всех Служебный флаг для разового пересчёта времени из локального в UTC NULL Не пересчитанное время (локальное)
1 Новое время (UTC)
2 Пересчитанное время (UTC)
[Flags] bigint - Служебный флаг для разового пересчета времени из локального в UTC
[RegistryPath] nvarchar(max) DlpRegistryEvent Ветка реестра DLP Client
[StartTime] datetime DlpTimeworkEvent DlpRegistryEvent DlpFileEvent Время старта DLP Client
[EndTime] datetime DlpTimeworkEvent DlpRegistryEvent DlpFileEvent Время окончания DLP Client
[ScreenGuid] uniqueidentifier DlpVideoEvent Для использования в процессе работы программ модуля Уникальный ID видеозаписи DLP Client
[TaskID] int Для использования в процессе работы программ модуля Для использования в процессе работы программ модуля DLP Client
[ProcessPath] nvarchar(max) DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent Путь к процессу DLP Client
[ProcessDesc] nvarchar(max) DlpAttachEvent DlpFileEvent DLPHttpEvent DlpKeyLoggerEvent DlpPrintEvent DlpRegistryEvent DlpAddedHardwareEvent DlpRemovedHardwareEvent DlpTimeworkEvent Описание процесса DLP Client
[Ip] nvarchar(max) DlpHttpEvent IP DLP Client
[Url] nvarchar(max) DlpHttpEvent URL DLP Client
[FileIndex] nvarchar(max) Для использования в процессе работы программ модуля Для использования в процессе работы программ модуля DLP Client
[Header] nvarchar(max) DlpHttpEvent Заголовок Заголовок HTTP для события типа HTTP DLP Client
[AccessMask] int DlpFileEvent DlpRegistryEvent Маска доступа DLP Client
[BackupFileName] nvarchar(max) DlpFileEvent DlpRegistryEvent Резервная копия DLP Client
[DeviceId] nvarchar(max) DlpAddedHardwareEvent DlpRemovedHardwareEvent ID устройства DLP Client
[DeviceClass] nvarchar(max) Класс устройства DLP Client
[DeviceDesc] nvarchar(max) Описание устройства DLP Client
[AttachPath nvarchar(max) DlpAttachEvent Путь к файлу-вложению в письмо DLP Client
[FilePath] nvarchar(max) DlpFileEvent Путь к файлу DLP Client
[DriveType] int DlpFileEvent Тип диска Тип носителя, на котором располагается наблюдаемый каталог или файл для события типа файл: локальный диск, съемный диск DLP Client
[KeyLoggerTime] datetime DlpKeyLoggerEvent Время записи события DLP Client
[KeyLoggerData] nvarchar(max) DlpKeyLoggerEvent Записанные данные DLP Client
[Error] int DLP Client
[PrinterName] nvarchar(max) DlpPrintEvent Имя принтера DLP Client