Wszystkie klasy WMI związane z produktem ESET znajdują się w przestrzeni nazw „root\ESET”. Obecnie wdrożone są następujące klasy, które opisano bardziej szczegółowo poniżej:
Ogólne
Może istnieć tylko jedno wystąpienie klasy ESET_Product. Właściwości tej klasy odnoszą się do informacji podstawowych dotyczących zainstalowanego produktu ESET:
• ID — identyfikator typu produktu, np. „emsl”
• Name — nazwa produktu, np. „ESET Mail Security”.
• FullName — pełna nazwa produktu, np. „ESET Mail Security for IBM Domino”.
• Version — wersja produktu, np. „6.5.14003.0”
• VirusDBVersion — wersja bazy danych wirusów, np. „14533 (20161201)”.
• VirusDBLastUpdate — znacznik czasowy ostatniej aktualizacji bazy danych wirusów. Ciąg obejmuje znacznik czasowy w formacie daty i godziny WMI, np. „20161201095245.000000+060”
• LicenseExpiration— termin ważności licencji. Ciąg obejmuje znacznik czasowy w formacie daty i godziny WMI
• KernelRunning — wartość operatora logicznego wskazująca, czy uruchomiono usługę ekrn na komputerze, na przykład „TRUE”.
• StatusCode— cyfra oznaczająca stan ochrony produktu: 0 — zielony (OK), 1 — żółty (ostrzeżenie), 2 — czerwony (błąd).
• StatusText— komunikat z opisem powodu niezerowego kodu stanu. Jeśli stan jest zerowy, właściwość ma wartość zerową.
Klasa ESET_Features
Klasa ESET_Features występuje w wielu instancjach, w zależności od liczby funkcji produktu. Każda z instancji obejmuje następujące elementy:
• Name— nazwa funkcji (listę nazw podano poniżej).
• Status— stan funkcji: 0 — nieaktywna, 1 — wyłączona, 2 — włączona.
Lista ciągów oznaczających rozpoznawane obecnie funkcje produktu:
• CLIENT_FILE_AV— ochrona antywirusowa systemu plików w czasie rzeczywistym.
• CLIENT_WEB_AV — ochrona antywirusowa sieci klienta.
• CLIENT_DOC_AV— ochrona antywirusowa dokumentów na kliencie.
• CLIENT_NET_FW — zapora osobista klienta.
• CLIENT_EMAIL_AV— ochrona antywirusowa poczty e-mail na kliencie.
• CLIENT_EMAIL_AS — ochrona antyspamowa poczty e-mail na kliencie.
• SERVER_FILE_AV — ochrona antywirusowa plików w czasie rzeczywistym na objętym ochroną serwerze plików, np. ochrona plików zawartości bazy danych serwera SharePoint w przypadku programu ESET File Security
• SERVER_EMAIL_AV— ochrona antywirusowa wiadomości e-mail na objętym ochroną produkcie serwerowym, np. ochrona wiadomości e-mail w programie MS Exchange lub na serwerze IBM Domino.
• SERVER_EMAIL_AS— ochrona antyspamowa wiadomości e-mail na objętym ochroną produkcie serwerowym, np. ochrona wiadomości e-mail w programie MS Exchange lub na serwerze IBM Domino.
• SERVER_GATEWAY_AV— ochrona antywirusowa objętych ochroną protokołów sieciowych bramy.
• SERVER_GATEWAY_AS — ochrona antyspamowa objętych ochroną protokołów sieciowych bramy.
Klasa ESET_Statistics
Klasa ESET_Statistics występuje w wielu instancjach, w zależności od liczby skanerów w ramach produktu. Każda z instancji obejmuje następujące elementy:
• Scanner — ciąg z kodem danego skanera, np. „CLIENT_FILE”
• Total — łączna liczba przeskanowanych plików.
• Infected — liczba wykrytych zainfekowanych plików.
• Cleaned — liczba wyleczonych plików.
• Timestamp — znacznik czasowy ostatniej zmiany w tych statystykach. W formacie daty i godziny WMI, np. „20130118115511.000000+060”
• ResetTime — znacznik czasowy ostatniego zerowania licznika statystyk. W formacie daty i godziny WMI, np. „20130118115511.000000+060”
Lista ciągów oznaczających skanery, które są obecnie rozpoznawane:
• CLIENT_FILE
Klasa ESET_ThreatLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika
„Wykryte zagrożenia”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika skanowania
• Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Scanner — nazwa skanera, który utworzył dane zdarzenie dziennika.
• ObjectType— typ obiektu, który spowodował utworzenie danego zdarzenia dziennika.
• ObjectName— nazwa obiektu, który spowodował utworzenie danego zdarzenia dziennika.
• Threat— nazwa zagrożenia znalezionego w obiekcie opisanym właściwościami ObjectName oraz ObjectType.
• Action— czynność wykonana po zidentyfikowaniu zagrożenia.
• User— konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika.
• Information— dodatkowy opis zdarzenia.
• Hash— skrót obiektu, który spowodował utworzenie danego zdarzenia dziennika.
ESET_EventLog
Klasa ESET_EventLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika
„Zdarzenia”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika skanowania
• Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń).
• Module— nazwa modułu, który utworzył dane zdarzenie dziennika.
• Event— opis zdarzenia.
• User— konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika.
ESET_ODFileScanLogs
Klasa ESET_ODFileScanLogs występuje w wielu instancjach, z których każda związana jest z rekordem skanowania plików na żądanie. Jest to odpowiednik listy dzienników „Skanowanie komputera na żądanie” dostępnej w graficznym interfejsie użytkownika. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika skanowania
• Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
• Targets — foldery lub obiekty docelowe skanowania
• TotalScanned — łączna liczba przeskanowanych obiektów
• Infected — liczba wykrytych zainfekowanych obiektów
• Cleaned — liczba wyleczonych obiektów.
• Status — stan procesu skanowania.
ESET_ODFileScanLogRecords
Klasa ESET_ODFileScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem z jednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_ODFileScanLogs. W instancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników na żądanie. Gdy
wymagana jest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji według właściwości LogID. Każda z instancji klasy obejmuje następujące elementy:
• LogID— identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancji klasy ESET_ODFileScanLogs).
• ID — unikatowy identyfikator danego rekordu dziennika skanowania
• Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Log — rzeczywisty komunikat dziennika.
Klasa ESET_ODServerScanLogs
Klasa ESET_ODServerScanLogs występuje w wielu instancjach, z których każda związana jest z uruchomieniem skanowania serwera na żądanie. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika skanowania
• Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
• Targets — foldery lub obiekty docelowe skanowania
• TotalScanned — łączna liczba przeskanowanych obiektów
• Infected — liczba wykrytych zainfekowanych obiektów
• Cleaned — liczba wyleczonych obiektów.
• RuleHits— ogólna liczba zastosowań reguł.
• Status — stan procesu skanowania.
Klasa ESET_ODServerScanLogRecords
Klasa ESET_ODServerScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem z jednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_ODServerScanLogs.
W instancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników na żądanie. Gdy wymagana jest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji według właściwości LogID. Każda z instancji klasy obejmuje następujące elementy:
• LogID— identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z
instancji klasy ESET_ODServerScanLogs).
• ID — unikatowy identyfikator danego rekordu dziennika skanowania
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń).
• Log — rzeczywisty komunikat dziennika.
ESET_SmtpProtectionLog
Klasa ESET_SmtpProtectionLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika „Ochrona Smtp”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika skanowania
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• HELODomain— nazwa domeny HELO.
• IP— źródłowy adres IP.
• Sender — nadawca wiadomości e-mail.
• Recipient— odbiorca wiadomości e-mail.
• ProtectionType — typ stosowanej ochrony
• Action — wykonana czynność.
• Reason — przyczyna wykonania czynności
• TimeToAccept— liczba minut, po której wiadomość e-mail zostanie zaakceptowana.
ESET_HIPSLog
Klasa ESET_HIPSLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika „HIPS”.
Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical (debugowanie, informacje-stopka, informacje, informacje-ważne, ostrzeżenie, błąd, ostrzeżenie dot. zabezpieczeń, błąd krytyczny, krytyczne ostrzeżenie dot. zabezpieczeń).
• Application — aplikacja źródłowa
• Target — typ operacji
• Action — czynność podjęta przez system HIPS, na przykład zezwolenie, odmowa itp.
• Rule — nazwa reguły odpowiedzialnej za czynność
• AdditionalInfo
ESET_URLLog
Klasa ESET_URLLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika
„Filtrowanie witryn internetowych”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• URL — adres URL
• Status — stan po przetworzeniu adresu URL, np. „Zablokowany przez kontrolę dostępu do stron internetowych”
• Application — aplikacja, która próbowała uzyskać dostęp do adresu URL
• User — konto użytkownika, które posłużyło do uruchomienia aplikacji
ESET_DevCtrlLog
Klasa ESET_DevCtrlLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika
„Kontrola dostępu do urządzeń”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Device — nazwa urządzenia
• User — nazwa konta użytkownika
• UserSID — identyfikator SID konta użytkownika
• Group — nazwa grupy użytkownika
• GroupSID — identyfikator SID grupy użytkownika
• Status — czynność podjęta w stosunku do urządzenia, np. „Zapis zablokowany”
• DeviceDetails — dodatkowe informacje na temat urządzenia
• EventDetails — dodatkowe informacje na temat zdarzenia
ESET_MailServerLog
Klasa ESET_MailServerLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika
„Serwer poczty e-mail”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• IPAddr — źródłowy adres IP.
• HELODomain— nazwa domeny HELO.
• Sender — nadawca wiadomości e-mail.
• Recipient— odbiorca wiadomości e-mail.
• Subject — temat wiadomości e-mail.
• ProtectionType — funkcja ochrony, która wykonała czynność opisaną przez bieżący rekord dziennika, np.
antywirus, antyspam lub reguły.
• Action — wykonana czynność.
• Reason — powód wykonania działania względem obiektu przez wskazaną funkcję ProtectionType.
ESET_HyperVScanLogs
Klasa ESET_HyperVScanLogs występuje w wielu instancjach, z których każda związana jest z rekordem skanowania plików środowiska Hyper-V. Jest to odpowiednik listy dzienników „Skanowanie środowiska Hyper-V” dostępnej w graficznym interfejsie użytkownika. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• Targets — komputery/dyski/woluminy docelowe skanowania
• TotalScanned — łączna liczba przeskanowanych obiektów
• Infected — liczba wykrytych zainfekowanych obiektów
• Cleaned — liczba wyleczonych obiektów.
• Status — stan procesu skanowania.
ESET_HyperVScanLogRecords
Klasa ESET_HyperVScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem z jednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_HyperVScanLogs. W instancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników środowiska Hyper-V. Gdy wymagana jest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji według właściwości LogID. Każda z instancji klasy obejmuje następujące elementy:
• LogID — identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancji klasy ESET_HyperVScanLogs)
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Log — rzeczywisty komunikat dziennika.
ESET_NetworkProtectionLog
Klasa ESET_NetworkProtectionLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika „Ochrona sieci”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Event — zdarzenie uruchamiające czynność dotyczącą ochrony sieci
• Action — czynność wykonana przez funkcję ochrony sieci
• Source — adres źródłowy urządzenia sieciowego
• Target — adres docelowy urządzenia sieciowego
• Protocol — protokół do obsługi komunikacji sieciowej
• RuleOrWormName — nazwa reguły lub robaka powiązanego ze zdarzeniem
• Application — aplikacja, która zainicjowała komunikację sieciową
• User— konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika.
ESET_SentFilesLog
Klasa ESET_SentFilesLog występuje w wielu instancjach, z których każda związana jest z rekordem z dziennika
„Wysłane pliki”. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator danego rekordu dziennika
• Timestamp — znacznik czasowy utworzenia rekordu dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Sha1 — skrót Sha-1 wysłanego pliku
• File — wysłany plik
• Size — rozmiar wysłanego pliku
• Category — kategoria wysłanego pliku
• Reason — przyczyna wysłania pliku
• SentTo — dział firmy ESET, do którego został wysłany plik
• User— konto użytkownika, który spowodował wygenerowanie danego zdarzenia dziennika.
ESET_OneDriveScanLogs
Klasa ESET_OneDriveScanLogs występuje w wielu instancjach, z których każda związana jest z osobnym przebiegiem skanowania w usłudze OneDrive. Jest to odpowiednik listy dzienników „Skanowanie w usłudze OneDrive” dostępnej w graficznym interfejsie użytkownika. Każda z instancji obejmuje następujące elementy:
• ID — unikatowy identyfikator tego dziennika usługi OneDrive
• Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
• Targets — foldery lub obiekty docelowe skanowania
• TotalScanned — łączna liczba przeskanowanych obiektów
• Infected — liczba wykrytych zainfekowanych obiektów
• Cleaned — liczba wyleczonych obiektów.
• Status — stan procesu skanowania.
ESET_OneDriveScanLogRecords
Klasa ESET_OneDriveScanLogRecords występuje w wielu instancjach, z których każda związana jest z rekordem z jednego z dzienników skanowania, do których odnoszą się poszczególne instancje klasy ESET_OneDriveScanLogs.
W instancjach tej klasy zawarte są rekordy dzienników wszystkich skanów lub dzienników usługi OneDrive. Gdy wymagana jest tylko instancja określonego dziennika skanowania, należy przeprowadzić filtrowanie instancji według właściwości LogID. Każda z instancji obejmuje następujące elementy:
• LogID — identyfikator dziennika skanowania, do którego należy dany rekord (identyfikator jednej z instancji klasy ESET_OneDriveScanLogs)
• ID — unikatowy identyfikator tego dziennika usługi OneDrive
• Timestamp — znacznik czasowy utworzenia dziennika (w formacie daty i godziny WMI)
• LogLevel — stopień ważności rekordu dziennika wyrażony jako liczba z zakresu [0–8]. Wartości odpowiadają następującym poziomom: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Log — rzeczywisty komunikat dziennika.