如何收集卡巴斯基Kaspersky Endpoint Security(KES)的偵錯檔

卡巴斯基原廠鏈接為

http://support.kaspersky.com/9343

http://support.kaspersky.com/9346

注意：官網的機碼裡面位置是KES10，所以針對KES10.2.20535及之後的版本，需要手動修改對應的路徑，直接匯入是無效的。

以Kaspersky Endpoint Security 10為例子

一、開啟偵錯功能(預設為關閉)

首先要確認有管理員權限，打開卡巴斯基，點擊左下角的技術支援，再點系統偵錯，根據需要的等級啟用偵錯功能，預設等級為500。

偵錯檔案儲存在%ProgramData% \Kaspersky Lab 資料夾中。

在Microsoft Windows Vista / Windows 7 / Windows 8 / Windows Server 2008 R2/ Windows 10:

C:\ProgramData\Kaspersky Lab\

在 Microsoft Windows XP / Windows Server 2003:

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\

偵錯檔案名稱格式：KES<版本號_dateXX.XX_timeXX.XX_pidXXX.><偵錯檔案類型>.log.enc1.

(舊版的附檔名沒有最後的enc1)

偵錯檔案類型:

主要是SRV.log、GUI.log 和 ALL.log 偵錯檔案。

其他可能的類型為

HST.log 偵錯檔案包含關於資料庫執行和程式模組更新工作的資訊。

BL.log 偵錯檔案包含應用程式執行期間發生的事件資訊，以及對應用程式錯誤進行故障排除所需的資料。如果使用 avp.exe –bl 參數啟動應用程式，將建立此檔案。

當進行應用程式記憶體傾印時，Dumpwriter.log 偵錯檔案包含對錯誤進行故障排除時必要服務資訊。

WD.log 偵錯檔案包含 avpsus 服務執行期間所發生的事件資訊，包括應用程式模組更新事件。

AVPCon.dll.log 偵錯檔案包含卡巴斯基安全管理中心連接模組執行期間所發生的事件資訊。

注意，有時此路徑有產生一樣KES開頭，enc1後綴的文件，其實不一定是偵錯檔，如果是KES×××.dmp.encl，則是程式崩潰產生的dump檔

二、偵錯等級

從程式界面可以設定100到600等級

關鍵（100）：僅記錄嚴重錯誤。

高（200）：記錄所有錯誤，其中包括至關重要的。

故障排除（300）：記錄所有錯誤和警告。

重要（400）：記錄所有錯誤和警告，再加上額外的信息消息。

正常（500）：記錄所有錯誤和警告，以及其他信息的消息和正常運行數據。這是預設等級，此級別也可以使用機碼的方式來開啟和關閉, http://support.kaspersky.com/9346#block1

低（600）。記錄所有可能的消息。

另外還有700及800等級，無法從kes上開啟，可使用修改機碼的方式或者使用klactgui.exe開啟和關閉

方式可以參考

http://support.kaspersky.com/9346#block3

使用機碼修改可以執行regedit

定位到下面位置

32位系統：HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\KES10\Trace\Default

64位系統：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\KES10\Trace\Default

右側TraceFileEnable的值為0則是關閉偵錯，如果為1則為開機偵錯，實時生效

右側TraceFileMaxLevel的值是偵錯等級，修改數值的時候可以選10進制修改，可以修改100、200、300、400、500、600、700、800等級。

使用機碼值手動修改，需要先將卡巴斯基的自我防護關掉。

但我可以通過KSC的小工具klactgui.exe來修改設定

如果需要更改偵錯檔的資料夾可以參考

http://support.kaspersky.com/9346#block2

三、如何刪除偵錯檔

關閉卡巴斯基將上述產生的偵錯文件刪除即可，如果無法刪除，可以先關閉自我防護後再刪除。

注意：只有在需要的時候才開啟這個功能，收集完需要的資料後就將此功能關閉，否則偵錯檔文件會持續增加，佔用硬碟空間。