风险日志和快速报告

风险日志和报告包含有关服务器及其客户端上的风险事件的信息。其中提供的信息包括事件时间、事件实际操作、用户名、计算机、风险名称源、计数和文件路径。
日志和报告中的某些扫描操作可能会建议您在特定检测上运行 Power Eraser。在某些日志和报告中,您可以过滤“
执行的操作
”来检查这些建议。
Power Eraser 检测不会显示在风险报告中。Power Eraser 是一种可标记潜在风险的主动扫描。由于扫描结果可能会夸大实际检测数,报告中将不包括这些检测。然而,检测将显示在日志中,以便管理员可以对潜在风险采取操作。
操作”说明风险日志中的选项。
风险快速报告的“基本设置”过滤器选项介绍了几种快速报告的过滤器选项。
下表介绍了日志和快速报告的“其他设置”过滤器选项。
风险日志和快速报告视图的“其他设置”过滤器选项
选项
说明
执行的操作
指定要查看其相关信息的所执行操作。
选择下列操作之一:
  • 所有
  • 拒绝访问
    查看
    Symantec Endpoint Protection
    的自动防护部分阻止创建文件的事件。
  • 操作无效
    查看所执行操作无效的事件。这些风险可能仍存在于计算机上。
  • 所有操作都失败
    查看为风险配置的主要操作和次要操作由于某种原因都不能执行的事件。
  • 错误
    查看因不明原因导致扫描引擎失败的事件。这些风险可能仍存在于计算机上。
  • 已清除
    查看软件已从计算机中清除病毒的事件。
  • 已通过删除清除
    查看所配置的操作为“清除”但文件已被删除(因为删除是唯一的清除方式)的事件。例如,通常对特洛伊木马程序需要采取此操作。
  • 已清除或宏已被删除
    查看已使用删除或其他某些方式从文件中清除宏病毒的事件。此操作仅适用于从运行 Symantec AntiVirus 8.x 或更低版本的计算机接收到的事件。
  • 已删除或已移除
    查看软件通过删除对象(例如文件或注册表项)删除风险的事件。
  • 已排除
    查看用户选择从检测中排除安全风险的事件。例如,提示用户准许终止进程时,就会进行此操作。
  • 不操作
    指定不对风险进行操作的事件。如果配置的第一操作是“不操作”,则会发生此操作。如果配置的第二操作是“
    不操作
    ”且配置的第一操作未成功,也会发生此操作。此操作可能意味着计算机上仍有风险活动。
  • 无可用修复
    查看已检测到风险但无法修复此风险副作用的事件。
  • 无可用修复 - 建议使用 Power Eraser 修复
    查看事件,在这些事件中,扫描无法修复某些检测的副作用。您应该在发生这些事件的计算机上运行 Power Eraser。Power Eraser 检测到威胁后,您必须手动启动修复。
  • 部分已修复
    查看
    Symantec Endpoint Protection
    无法完全修复病毒或安全风险的负面影响的事件。
  • 挂起修复或等待管理员操作
    查看用户或管理员应采取操作才能完成补救计算机上风险的事件。例如,如果用户未响应终止进程的提示,则可能发生
    挂起修复
    操作。当 Power Eraser 需要管理员从控制台中的日志执行某一操作时,会发生
    等待管理员操作
  • 进程已终止
    查看必须终止计算机上的某一进程才能降低风险的事件。
  • 进程终止等待重新启动
    查看计算机需要重新启动才能终止进程以降低风险的事件。
  • 已隔离
    查看
    Symantec Endpoint Protection
    已隔离病毒或安全风险的事件。
  • 还原
    查看管理员先删除稍后又选择还原的 Power Eraser 事件。
  • 可疑
    查看 SONAR 扫描检测到潜在风险,但由于无法补救或您已将其配置为仅记录检测而尚未加以补救的事件。
  • 已禁止威胁 - 建议使用 Power Eraser 修复
    查看扫描检测并禁止威胁但未删除或修复任何文件的事件。您应该在发生这些事件的计算机上运行 Power Eraser。Power Eraser 检测到威胁后,您必须手动启动修复。
  • 需要重新启动 - 已隔离
    查看在扫描隔离风险后需要进行重新启动的事件。
  • 需要重新启动 - 已清除
    查看在扫描清除风险后需要客户端计算机重新启动的事件。
  • 管理员已将其单独搁置
    查看管理员已审核但选择略过不予补救的 Power Eraser 事件。请注意,此事件操作将不会发送至客户端。客户端日志视图中客户端上的相应事件会继续将事件操作显示为“未决分析”。
扫描类型
指定要查看其相关信息的扫描类型。例如,您可以选择“
调度扫描
”、“
控制台
”或“
空闲扫描
”。
调度扫描
”包括全部调度扫描类型:“
活动扫描
”、“
全面扫描
”或“
自定义扫描
”。
风险类型
指定要查看其相关信息的风险类型。例如,您可以选择“
恶意软件
”、
Cookie
或“
远程访问
”。
  • 事件类型
  • 服务器
  • 计算机
  • IP 地址
  • 用户
  • 操作系统
风险名称
如果您知道风险的名称,则使用此选项。
可以使用问号 (?) 通配符来匹配任何一个字符,使用星号 (*) 来匹配任何字符串。它也接受以逗号分隔的列表作为输入。
应用程序
指定要查看其相关信息的应用程序的名称。
可以使用问号 (?) 通配符来匹配任何一个字符,使用星号 (*) 来匹配任何字符串。它也接受以逗号分隔的列表作为输入。
下表介绍了可以从风险日志添加到例外策略的例外。选择例外,然后单击“
应用
”。
操作
选项
说明
将风险添加到例外策略
创建一项已知风险例外。仅适用于被检测为安全风险(例如广告软件或间谍软件)但属于已知安全风险的文件。
将文件添加到例外策略
为检测到的文件创建一项例外,以便病毒和间谍软件扫描不再检测该文件。该文件由其文件路径加以标识。
将文件夹添加到例外策略
为检测到的文件所在的文件夹创建一项例外。仅适用于病毒和间谍软件扫描,不适用于 SONAR 扫描。此例外不会自动将子文件夹包含在内。
将扩展名添加到例外策略
为检测到的文件的扩展名创建一项例外。例如,如果您选择的文件的扩展名为 .doc,则会向病毒和间谍软件扫描所不扫描的扩展名列表中添加 DOC。
信任 Web 域
创建一项适用于相应文件的下载 URL 的可信 Web 域例外。此例外仅适用于下载智能分析检测到的文件。
允许使用应用程序
创建一项采取“忽略”操作的应用程序例外。相应的文件由其哈希加以标识。此例外既适用于 SONAR 扫描,也适用于任何病毒及间谍软件扫描。
禁止使用应用程序
创建一项采取“隔离”操作的 SONAR 应用程序例外。相应的文件由其哈希加以标识。
从隔离区删除
不创建例外。将所选的项目从客户端计算机的隔离区中删除。
启动 Power Eraser 分析
针对所选择的风险运行 Power Eraser。Symantec Endpoint Protection 有时会建议您针对检测到的风险运行 Power Eraser。
删除 Power Eraser 检测到的风险
删除 Power Eraser 在客户端计算机上检测到的选定风险。使用此命令手动删除 Power Eraser 检测到的风险。Power Eraser 不会自动删除风险。
还原 Power Eraser 删除的风险
还原 Power Eraser 检测到的且您或另一位管理员先前已删除的文件。
忽略 Power Eraser 检测到的风险
确认所选检测。在您审核所选检测并决定不对其进行操作后,请使用此命令。
风险快速报告的“基本设置”过滤器选项
选项
说明
分组依据
指定要查看其相关信息的目标。
例如,对于“
风险检测数量
”,您可以按“
计算机
”分组。
例如,对于“
网络中检测到的新风险
”,您可以选择“
”或“
用户名
”。
例如,对于“
风险分布摘要
”,您可以选择“
风险名称
”或“
”。
配置
. . .
此选项仅可用于“
全面风险报告
”。
默认情况下,“
全面风险报告
”包括所有分布报告和新风险。您可以单击此选项来限制此报告中的数据。
X 轴
指定您要在三维直方图的 X 轴上使用的变量。例如,您可以选择“
用户名
”或“
服务器
”。
该图会显示此轴变量的前五个实例。如果您选择了计算机作为其中的一个变量,而受感染的计算机少于五台,则图中可能会显示未受感染的计算机。
此选项仅适用于“
前几个风险检测关联
”报告。
Y 轴
指定您要在三维直方图的 Y 轴上使用的变量。例如,您可以选择“
”或“
风险名称
”。
该图会显示此轴变量的前五个实例。如果您选择了计算机作为其中的一个变量,而受感染的计算机少于五台,则图中可能会显示未受感染的计算机。
此选项仅适用于“
前几个风险检测关联
”报告。
通知数
”和“
某段时间内的通知数
”快速报告的其他过滤器设置
选项
说明
确认状态
显示已读或未读的通知。
通知类型
指定要查看其相关信息的通知类型。例如,您可以选择“
客户端列表更改
”或“
新软件包
”。
创建者
指定要查看具有此用户创建的过滤器的通知。
通知名称
指定要查看其相关信息的特定通知的名称。
可以单击 . . . 选项,从已知通知的列表中选择。可以使用问号 (?) 通配符来匹配任何一个字符,使用星号 (*) 来匹配任何字符串。也可以单击省略号从通知列表中选择。默认情况下,已创建的全部通知都包括在内。