完整性监控事件

本文介绍如何访问和处理完整性监控事件。有关与事件有关的一般最佳做法，请参阅趋势科技服务器深度安全防护系统中的事件。

要查看由趋势科技服务器深度安全防护系统捕获的完整性监控事件，请转至事件和报告 > 事件 > 完整性监控事件。

完整性监控事件会显示哪些信息？

“完整性监控事件”页面上可显示以下列。您可单击列来选择要在表中显示的列。

• 时间：计算机上发生事件的时间。
• 计算机：记录此事件的计算机。（如果已移除此计算机，此条目会显示为“未知计算机”。）
• 原因：与此事件关联的完整性监控规则。
• 标记:应用到此事件的事件标记。
• 更改：完整性规则检测到的更改。可以为：“已创建”、“已更新”、“已删除”或“已更名”。
• 排序：排序系统提供了一种量化事件重要性的方法。为计算机分配“资产值”并为规则分配“严重性值”，然后将两个值相乘便可计算得出事件的重要性（“排序”）。这允许您按排序来排列事件的顺序。
• 严重性:完整性监控规则的严重性值
• 类型:发生事件的实体类型
• 密钥:发生事件的路径和文件名或注册表项
• 用户：文件所有者的用户 ID
• 进程:发生事件的进程
• 事件起源:发生事件的趋势科技服务器深度安全防护系统组件

请参阅与事件有关的详细信息

双击事件（或右键单击事件并单击查看）会显示一个窗口，其中包含有关该事件的其他信息。标记选项卡显示已附加到此事件的标记。有关事件标记的更多信息，请参阅应用标记来标识和分组事件。

您还可以右键单击事件并选择计算机详细信息以打开生成事件的计算机的计算机编辑器。

要查看与事件关联的规则的属性，请右键单击事件，然后选择完整性监控规则属性。

找到特定事件

可以使用每个事件页面顶部的列表来过滤事件以及对事件进行分组。选择您想过滤的值，然后单击右侧的大蓝色箭头以应用过滤。您还可以使用右上角的搜索栏搜索特定事件。

要执行高级搜索，请单击搜索栏中的箭头并选择打开高级搜索。

使用期间设置可以过滤列表，从而只显示在特定时间范围内发生的事件。

使用计算机设置，可以按照计算机组或策略来组织事件日志条目的显示情况。

高级搜索功能（搜索不区分大小写）：

• 包含：选定列中的条目包含该搜索字符串
• 不包含：选定列中的条目不包含该搜索字符串
• 等于：选定列中的条目完全符合该搜索字符串
• 不等于：选定列中的条目并不完全符合该搜索字符串
• 在范围内：选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配
• 不在范围内：选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配

按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏，这样可将多个参数应用于搜索。当您的搜索参数准备就绪后，单击右侧的大蓝色箭头。

导出事件列表

单击导出，可将所有或选定的事件导出为 CSV 文件。

标记事件

单击自动标记显示了已经应用到事件的现有自动标记规则的列表。您还可以右键单击事件以手动添加或移除标记。（请参阅应用标记来标识和分组事件。）