Причина возникновения таких событий — достижение лимита по находящимся в БД событиям. В хорошем варианте события должны удаляться по достижении времени хранения, а не Сервер администрирования принудительно очищать БД из-за достижения лимита количества хранимых событий, что сейчас происходит судя по записанному событию.
Первым шагом рекомендую узнать каким типом событий занята большая часть места. Понять требуется ли хранить их. Очень часто БД оказывается занята малополезными событиями. Например, можно в задачах переключить только на запись результата выполнения, уменьшить срок хранения событий в задачах и политиках продуктов. Очистить БД от выявленных событий получится через выборку по целевым событиям и через правую кнопку мыши удалить по ним.
Можно пошагово увеличить размер хранимых событий и найти баланс, когда срок хранения завершается раньше чем БД переполнится. Страница справки по настройке лимита событий в БД: https://support.kaspersky.com/help/KSC/13.2/ru-RU/30023.htm?cid=KSC_13.2
Дополнительно ознакомьтесь с функцией блокировки частых событий: https://support.kaspersky.com/help/KSC/13.2/ru-RU/213112.htm
Если требуются дополнительные рекомендации, то лучше завести обращение в техническую поддержку для детального анализа причин в вашем конкретном случае: https://support.kaspersky.com/b2b Перед обращением имеет смысл провести и собрать ту же диагностику, что предлагается при превышении лимита БД в 10 Гб для SQL Express в статье https://support.kaspersky.ru/15731
В таблице ниже приведены события Сервера администрирования Kaspersky Security Center с уровнем важности Отказ функционирования .
События отказа функционирования Сервера администрирования
Отображаемое имя типа события
Идентификатор типа события
Срок хранения по умолчанию
Ошибка времени выполнения
События этого типа возникают из-за неизвестных проблем.
Чаще всего это проблемы СУБД, проблемы с сетью и другие проблемы с программным и аппаратным обеспечением.
Подробную информацию о событии можно найти в его описании.
Для одной из групп лицензионных программ превышено ограничение числа установок
Сервер администрирования генерирует события такого типа периодически (каждый час). События этого типа возникают, если в Kaspersky Security Center вы управляете лицензионными ключами программ сторонних производителей и если количество установок превысило заданное в лицензионном ключе программы стороннего производителя ограничение.
Вы можете ответить на событие следующими способами:
- Просмотрите список управляемых устройств. Удалите программу стороннего производителя с устройств, на которых она не используется.
- Используйте лицензию стороннего производителя на большее количество устройств.
Вы можете управлять лицензионными ключами программ сторонних производителей, используя функциональность групп лицензионных программ. В группу лицензионных программ входят программы сторонних производителей, отвечающие заданным вами критериям.
Не удалось выполнить опрос облачного сегмента
События этого типа возникают, если Сервер администрирования не может опросить сегмент сети в облачном окружении.
Прочтите информацию в описании события и отреагируйте соответствующим образом.
Не удалось выполнить копирование обновлений в заданную папку
События этого типа возникают, если обновления программного обеспечения копируются в общую папку (или папки).
Вы можете ответить на событие следующими способами:
- Проверьте, имеет ли учетная запись пользователя, которая используется для получения доступа к папке (или папкам), права на запись.
- Проверьте, не были ли изменены имя пользователя и / или пароль к папке (к папкам).
- Проверьте подключение к интернету, так как это может быть причиной события. Следуйте инструкциям по обновлению баз и программных модулей.
Нет свободного места на диске
События этого типа возникают, если на жестком диске устройства, на котором установлен Сервер администрирования, заканчивается дисковое пространство.
Освободите дисковое пространство на устройстве.
Общая папка недоступна
События этого типа возникают, если общая папка Сервера администрирования недоступна.
Вы можете ответить на событие следующими способами:
- Убедитесь, что Сервер администрирования (на котором находится общая папка) включен и доступен.
- Проверьте, были ли изменены имя пользователя и / или пароль к папке.
- Проверьте подключение к сети.
База данных Сервера администрирования недоступна
События этого типа возникают, если база Сервера администрирования становится недоступной.
Вы можете ответить на событие следующими способами:
- Проверьте, доступен ли удаленный сервер, на котором установлен SQL-сервер.
- Просмотрите журналы событий СУБД и найдите причину недоступности базы Сервера администрирования. Например, из-за профилактических работ удаленный сервер с установленным SQL Server может быть недоступен.
Недостаточно места в базе данных Сервера администрирования
События этого типа возникают, если нет свободного места в базе Сервера администрирования.
Сервер администрирования не работает, если его база данных переполнена и дальнейшая запись в базу данных невозможна.
Ниже приведены причины возникновения события, которые зависят от используемой СУБД, и соответствующие способы реагирования на событие:
- Вы используете SQL Server Express Edition:
Проверьте в документации к SQL Server Express ограничение размера базы данных для используемой версии. Возможно, ваша база данных Сервера администрирования превысила ограничение размера базы данных.
В базе данных Сервера администрирования слишком много событий, отправленных компонентом Контроль программ. Вы можете изменить параметры политики Kaspersky Endpoint Security для Windows, касающиеся хранения событий компонента Контроль программ в базе данных Сервера администрирования.
Вы используете СУБД, отличную от SQL Server Express Edition:
Источник
Время попытки подключения к базе данных истекло после 600 сек kaspersky
В таблице ниже приведены события Сервера администрирования Kaspersky Security Center с уровнем важности Предупреждение .
События предупреждения Сервера администрирования
Отображаемое имя типа события
Идентификатор типа события
Срок хранения по умолчанию
Лицензионное ограничение превышено
Один раз в день Kaspersky Security Center проверяет, не превышены ли лицензионные ограничения.
События этого типа возникают, если Сервер администрирования регистрирует превышение лицензионного ограничения программ «Лаборатории Касперского», установленных на клиентских устройствах, и если количество используемых лицензионных единиц одной лицензии составляет от 100% до 110% от общего количества единиц, охватываемых лицензией.
Даже если возникает это событие, клиентские устройства защищены.
Вы можете ответить на событие следующими способами:
- Просмотрите список управляемых устройств. Удалите устройства, которые не используются.
- Предоставьте лицензию на большее количество устройств (добавьте еще один действительный код активации или файл ключа на Сервер администрирования).
Kaspersky Security Center определяет правила генерации событий при превышении лицензионного ограничения.
Устройство долго не проявляет активности в сети
События этого типа возникают, если управляемое устройство неактивно в течение некоторого времени.
Чаще всего это происходит, когда управляемое устройство выводится из эксплуатации.
Вы можете ответить на событие следующими способами:
- Удалите устройство из списка управляемых устройств вручную.
- Укажите интервал, по истечении которого создается событие Устройство долго не проявляет активности в сети с помощью Консоли администрирования или с помощью Kaspersky Security Center 13 Web Console.
- Укажите интервал, по истечении которого устройство автоматически удаляется из группы с помощью Консоли администрирования или Kaspersky Security Center 13 Web Console.
Конфликт имен устройств
События этого типа возникают, если Сервер администрирования рассматривает два или более управляемых устройства как одно устройство.
Чаще всего это происходит, когда клонированный жесткий диск использовался для развертывания программ на управляемых устройствах и без переключения Агента администрирования в режим клонирования выделенного диска на эталонном устройстве.
Чтобы избежать этой проблемы, перед клонированием жесткого диска этого устройства переключите Агент администрирования в режим клонирования диска на эталонном устройстве.
Статус устройства «Предупреждение»
События этого типа возникают, если управляемому устройству назначен статус Предупреждение. Вы можете настроить условия при выполнении которых, статус устройства изменяется на Предупреждение.
Для одной из групп лицензионных программ скоро будет превышено ограничение числа установок
События этого типа возникают, если количество установок программ сторонних производителей, включенных в группу лицензионных программ, достигает 90% от максимально допустимого значения, указанного в свойствах лицензионного ключа.
Вы можете ответить на событие следующими способами:
- Если программа стороннего производителя не используется на каких-то управляемых устройствах, удалите программу с этих устройств.
- Если вы ожидаете, что количество установок для программы стороннего производителя превысит разрешенное ограничение в ближайшем будущем, рассмотрите возможность получения лицензии программы стороннего производителя на большее количество устройств заранее.
Вы можете управлять лицензионными ключами программ сторонних производителей, используя функциональность групп лицензионных программ.
События этого типа возникают, если не удается автоматически перевыпустить сертификат для Управления мобильными устройствами.
Ниже приведены возможные причины событий и соответствующие реакции в ответ на событие:
- Автоматический перевыпуск был инициирован для сертификата, для которого параметр Автоматически перевыпускать сертификат, если это возможно выключен. Это могло произойти из-за ошибки, которая возникла при создании сертификата. Может потребоваться перевыпуск сертификата вручную.
- Если вы используете интеграцию с инфраструктурой открытых ключей, причиной может быть отсутствие атрибута SAM-Account-Name учетной записи, которая используется для интеграции с PKI и для выпуска сертификата. Просмотрите свойства учетной записи.
События этого типа возникают, если администратор удаляет сертификат любого типа (общий, почтовый, VPN) для Управления мобильными устройствами.
После удаления сертификата мобильные устройства, подключенные по этому сертификату, не смогут подключиться к Серверу администрирования.
Это событие может быть полезно при исследовании неисправностей, связанных с Управлением мобильными устройствами.
Срок действия APNs-сертификата истек
События этого типа происходят, если истекает срок действия APNs-сертификата.
Срок действия APNs-сертификата истекает
События этого типа возникают, если до истечения срока действия APNs-сертификата остается менее 14 дней.
При истечении срока действия APNs-сертификата, вам необходимо вручную обновить APNs-сертификат и установить его на Сервер iOS MDM.
Рекомендуется запланировать обновление APNs-сертификата до истечения срока его действия.
Не удалось отправить FCM-сообщение на мобильное устройство
События этого типа возникают, если Управление мобильными устройствами настроено на использование Google Firebase Cloud Messaging (FCM) для подключения к управляемым мобильным устройствам с операционной системой Android, а FCM-сервер не может обработать некоторые запросы, полученные от Сервера администрирования. Это означает, что некоторые управляемые мобильные устройства не будут получать push-уведомление.
Прочтите HTTP код в описании события и ответьте соответствующим образом. Дополнительная информация о HTTP кодах, полученных от FCM-сервера, и связанных с ними ошибках есть в документации службы Google Firebase (см. главу «Downstream message error response codes»).
HTTP-ошибка при отправке FCM-сообщения на FCM-сервер
События этого типа возникают, если Управление мобильными устройствами настроено на использование Google Firebase Cloud Messaging (FCM) для подключения управляемых мобильных устройств с операционной системой Android, а FCM-сервер возвращает запрос Серверу администрирования с кодом HTTP, отличным от 200 (ОК).
Ниже приведены возможные причины событий и соответствующие реакции в ответ на событие:
- Проблемы на стороне FCM-сервера. Прочтите HTTP код в описании события и ответьте соответствующим образом. Дополнительная информация о HTTP кодах, полученных от FCM-сервера, и связанных с ними ошибках есть в документации службы Google Firebase (см. главу «Downstream message error response codes»).
- Проблемы на стороне прокси-сервера (если вы используете прокси-сервер). Прочтите HTTP код в описании события и ответьте соответствующим образом.
Не удалось отправить FCM-сообщение на FCM-сервер
События этого типа возникают из-за непредвиденных ошибок на стороне Сервера администрирования при работе с HTTP-протоколом Google Firebase Cloud Messaging.
Прочтите информацию в описании события и отреагируйте соответствующим образом.
Если вы не можете найти решение проблемы самостоятельно, рекомендуем вам обратиться в Службу технической поддержки «Лаборатории Касперского».
Мало свободного места на жестком диске
События этого типа возникают, если на устройстве, на котором установлен Сервер администрирования, почти закончилось дисковое пространство.
Освободите дисковое пространство на устройстве.
Мало свободного места в базе Сервера администрирования
События этого типа возникают, если свободное место в базе Сервера администрирования ограничено. Если вы не устраните эту проблему, скоро база данных Сервера администрирования достигнет своей емкости и Сервер администрирования не будет работать.
Ниже приведены причины возникновения события, которые зависят от используемой СУБД, и соответствующие способы реагирования на событие.
Вы используете SQL Server Express Edition:
- Проверьте в документации к SQL Server Express ограничение размера базы данных для используемой версии. Возможно, ваша база данных Сервера администрирования достигла ограничения размера базы данных.
- Ограничьте количество событий, хранящихся в базе данных Сервера администрирования.
- В базе данных Сервера администрирования слишком много событий, отправленных компонентом Контроль программ. Вы можете изменить параметры политики Kaspersky Endpoint Security для Windows, касающиеся хранения событий компонента Контроль программ в базе данных Сервера администрирования.
Вы используете СУБД, отличную от SQL Server Express Edition:
Просмотрите информацию о выборе СУБД.
Разорвано соединение с подчиненным Сервером администрирования
События этого типа возникают при разрыве соединения с подчиненным Сервером администрирования.
Прочтите журнал событий Kaspersky Event Log на устройстве, на котором установлен подчиненный Сервер администрирования, и отреагируйте соответствующим образом.
Разорвано соединение с главным Сервером администрирования
События этого типа возникают при разрыве соединения с главным Сервером администрирования.
Прочтите журнал событий Kaspersky Event Log на устройстве, на котором установлен главный Сервер администрирования, и отреагируйте соответствующим образом.
Зарегистрированы новые обновления модулей программ «Лаборатории Касперского»
События этого типа возникают, если Сервер администрирования регистрирует новые обновления программ «Лаборатории Касперского», установленных на управляемых устройствах, для установки которых требуется одобрение.
Началось удаление событий из базы данных, так как превышено ограничение числа событий
События такого типа возникают, если удаление старых событий из базы данных Сервера администрирования началось после достижения максимального количества событий, хранящихся в базе данных Сервера администрирования.
Вы можете ответить на событие следующими способами:
Удалены события из базы данных, так как превышено ограничение числа событий
События такого типа возникают, если старые события удалены из базы данных Сервера администрирования после достижения максимального количества событий, хранящихся в базе данных Сервера администрирования.
Вы можете ответить на событие следующими способами:
Источник
Статья обновлена: 28 июня 2022
ID: 15633
Статья относится к:
- Kaspersky Security Center 13.2 (версия 13.2.0.1511);
- Kaspersky Security Center 13.1 (версия 13.1.0.8324);
- Kaspersky Security Center 13 (версия 13.0.0.11247);
- Kaspersky Security Center 12 (версия 12.0.0.7734);
- Kaspersky Security Center 11 (версия 11.0.0.1131b).
Проблема
При загрузке обновлений в хранилище Kaspersky Security Center могут возникнуть следующие проблемы:
- задача обновления не запускается;
- задача обновления выполняется в течение длительного времени или заканчивается неудачей;
- рабочие станции не могут загрузить обновления с Сервера администрирования.
Решение
Мы рекомендуем убедиться, что:
- Системные требования для Сервера администрирования и сервера баз данных выполняются:
- Конфигурация сервера баз данных соответствует рекомендуемым параметрам: для MySQL, для MariaDB.
- Аппаратное и программное обеспечение подходит для новой версии Kaspersky Security Center.
Если Kaspersky Security Center будет установлен на неподдерживаемую операционную систему, задача обновления может не запуститься, а в журнале событий появится ошибка: «’C:Program Files (x86)Kaspersky LabKaspersky Security CenterUp2Date.exe’. #2800 EkaSMStartFailed: ‘1103/1.0.0.0/UP2DATE/UP2DATE_COMP_WELLKNOWN: // #1185 Object CheckResultFailedException — 0x80010107 (Symbol not found)».
- Используются одинаковые версии Консоли администрирования (локальная и удаленная) и Сервера администрирования.
- Для Kaspersky Security Center 12 применены все общедоступные патчи. Подробнее о выпущенных патчах смотрите в разделе Информация о релизах .
- Сервисная учетная запись Kaspersky Security Center создана со всеми необходимыми привилегиями и к ней в последнее время не применялись ограничения.
Вы можете получить ошибку вида «Not enough rights for file operations» в журнале выполненных задач, если учетная запись сервиса Kaspersky Security Center имеет недостаточный уровень доступа в настройках NTFS-папок, к которым она обращается. - Kaspersky Security Center поддерживает управление устанавливаемых программ.
Перед установкой проверяйте совместимость устанавливаемых программ с Kaspersky Security Center, так как в Консоли администрования могут быть доступны версии программ, которые будут работать только на последних версиях Kaspersky Security Center. - Сервер администрирования загружает обновления через прокси-сервер:
- Если загрузка обновлений заканчивается ошибкой вида «Failed to establish the HTTPS connection: TLS error (54). ‘/’», для проверки причин сбоя мы рекомендуем отключить проверку трафика для служб Kaspersky Security Center, загрузку обновлений через HTTPS и заменить ее на HTTP. Смотрите список сетевых параметров в статье.
- Если у вас возникают ошибки вида «break because of verification error 0xa0010002 (Unknown result code)» или «curl returned: 23: ‘Failed writing received data to disk/application’ GetLastError 0; WSAGetLastError 0» в журнале событий, отключите трафик через HTTPS. Данные ошибки будут исправлены в Kaspersky Security Center 13.
- При использовании точек распространения для доставки обновлений на управляемые устройства их параметры настроены по умолчанию. Если возникает проблема и вы видите ошибку вида «update task fails due to corrupt updates on the update source», мы рекомендуем:
- проверить настройки точки распространения, создать и запустить задачу обновления заново;
- оставить настройки для точки распространения по умолчанию.
- Ваша инфраструктура обновлена до последних версий Kaspersky Security Center, Агента администрирования и Kaspersky Endpoint Security для Windows.
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Всем добрый день!
С недавнего времени средствами задачи KSC усилил методы проверки файлов через KES 11.11, вследствие чего начало находиться много вложений из почты, которые входят в состав файла данных Outlook формата .pst и отмечаются в активных угрозах KSC. Если лечить эти угрозы, что зачастую равнозначно удалению, то вместе с этим удаляется и сам файл .pst, а с ним понятное дело вся почта пользователя. Если восстанавливать файл из резервного хранилища, то с ним восстанавливается и зараженное вложение и так по кругу. Вручную удалять такое количество сообщений займет слишком много времени. Исключать проверку по формату файла тоже не вариант, по понятным думаю причинам. Вопрос: Можно ли средствами Касперского заблокировать открытие этих сообщений, чтобы в дальнейшем и сам каспер не обнаружил его снова и пользователь не смог скачать это вложение или же какой другой вариант решения, который я скорее всего упустил?
P.s. читал про «Защиту от почтовых угроз», однако если я правильно понял, то поставив пункт «Лечить; блокировать, если лечение невозможно», то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.
24.02.2021
Установка и удаление корпоративной версии Лаборатории Касперского может пройти не так гладко, как это запланировал пользователь. Разберем основные ошибки системы и дадим рекомендации к их устранению.
Основные ошибки
- Ошибка 27200. Невозможно выгрузить программу из оперативной памяти.
- Ошибка 27300. Ошибка при установке драйвера.
- Ошибка 27320. Ошибка при настройке службы.
- Ошибка 1603. Ошибка процесса установки.
- Ошибка 1723. Обнаружена проблема в пакете мастере установки программы.
- Ошибка 27460. Ошибка при создании дескрипторов защиты.
- Ошибка: Пароль или имя пользователя для удаления программы не заданы либо заданы неверно.
- Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка.
- Удаленная установка на устройстве завершена с ошибкой: Для установки необходимо принять условия Лицензионного соглашения.
- Удаленная деинсталляция на устройстве завершена с ошибкой: Не удалось определить строку для автоматического удаления программы.
- После установки продукта его компоненты находятся в состоянии ошибки и не запускаются.
Решение
Все шаги инструкции выполняются последовательно:
1. Проверьте:
- Установлен ли пароль на удаление. Если защита установлена, убедитесь, что Вам известен корректный пароль. Подробнее в справке.
- Установлена и активна Служба базовой фильтрации (Base Filtering Engine).
- Установка или удаление происходит под учетной записью с правами администратора.
- На устройстве установлено стороннее ПО, ограничивающее права или запрещающее установку/удаление программ.
- Что вы корректно выполнили шаги установки программы. Использовали обязательные параметры EULA=1 и PRIVACYPOLICY=1 для принятия условий Лицензионного соглашения и Политики конфиденциальности. Подробнее в справке и статье.
- Возможно ли удалить программу локально без использования задачи Kaspersky Security Center.
- Настройки групповых политик (GPO). Или перенесите устройство в контейнер (OU) без действующих политик и форсируйте применение настроек. Подробнее в статье.
- Используемые в библиотеках шифрования алгоритмы. Они должны быть одинаковыми. Установочный пакет Kaspersky Endpoint Security. Если в нем присутствует файл первоначальной конфигурации install.cfg, попробуйте выполнить установку без него.
2. Запустите средство проверки системных файлов sfc /scannow, инструкция на сайте Microsoft. Будет проверена целостность всех системных файлов Windows и выполнена попытка их исправить или восстановить, если обнаружены ошибки. После восстановления поврежденных файлов и устранения ошибок, если они будут выявлены, повторите попытку установить Kaspersky Endpoint Security.
3. При наличии стороннего программного обеспечения, имеющего отношение к защите хранимой и передаваемой информации (например, КриптоПро CSP), установите последние версии этих программ.
4. Скачайте самую новую версию дистрибутива программы «Лаборатории Касперского», перезагрузите устройство и повторите попытку установки или удаления.
5. Скачайте и запустите kavremover в безопасном режиме. Перезагрузите устройство и повторите попытку установки.
6. Если программа Kaspersky Endpoint Security для Windows повреждена и вы хотите восстановить ее, запустите в командной строке команду восстановления в соответствии с версией программы:
- 11.4.0
msiexec /i {AF1904E7-A94C-4F4C-B3B7-EC54D7429DA2} KLLOGIN=<логин> KLPASSWD=<пароль> REINSTALL=ALL REINSTALLMODE=amus EULA=1 PRIVACYPOLICY=1 SKIPREBOOTPENDING=1 /lv*x path_to_log_file.txt /qn
- Для 11.3.0:
msiexec /i {192DE1DE-0D74-4077-BC2E-A5547927A052} KLLOGIN=<логин> KLPASSWD=<пароль> REINSTALL=ALL REINSTALLMODE=amus EULA=1 PRIVACYPOLICY=1 SKIPREBOOTPENDING=1 /lv*x path_to_log_file.txt /qn
- Для 11.2.0:
msiexec /i {9A017278-F7F4-4DF9-A482-0B97B70DD7ED} KLLOGIN=<логин> KLPASSWD=<пароль> REINSTALL=ALL REINSTALLMODE=amus EULA=1 PRIVACYPOLICY=1 SKIPREBOOTPENDING=1 /lv*x path_to_log_file.txt /qn
- Для 11.1.1:
msiexec /i {D1AB12B0-B9B5-43A0-98E1-584D790524FE} KLLOGIN=<логин> KLPASSWD=<пароль> REINSTALL=ALL REINSTALLMODE=amus EULA=1 PRIVACYPOLICY=1 SKIPREBOOTPENDING=1 /lv*x path_to_log_file.txt /qn
Заполните поля KLLOGIN и KLPASSWD и уточните путь к файлу логов.
7. Если на момент установки на компьютере присутствует Kaspersky Endpoint Security для Windows или выполняется удаление программы, воспользуйтесь рекомендациями ниже и повторите попытку установки или удаления:
Рекомендации носят временный характер и необходимы только в процессе очередной попытки установить или удалить программу.
- Остановите работу Kaspersky Endpoint Security для Windows c помощью Kaspersky Security Center, нажав на кнопку Остановить в левой части окна утилиты удаленной диагностики. Инструкция в справке. Вы также можете остановить работу программы локально на конечном устройстве, выгрузив Kaspersky Endpoint Security для Windows из оперативной памяти компьютера. Для этого нажмите правой кнопкой мыши на значок программы в области уведомлений, а затем нажмите Выход. Инструкция в справке.
- Выключите механизм самозащиты Kaspersky Endpoint Security для Windows в свойствах применяемой к целевому устройству политики или локально через интерфейс программы. Инструкция в справке.
- Отключите защиту паролем. Инструкция в справке.
Возврат к списку