Il existe habituellement plusieurs fichiers de traçage. Les événements relatifs à l’interface sont journalisés dans un fichier nommé GUI, les propres événements de l’anti-virus dans un fichier nommé SRV et les événements de mise à jour (rappelez-vous que la mise à jour est effectuée par un module externe) sont nommés HST. Les noms de fichiers contiennent aussi la version de l’anti-virus et l’heure de la création du fichier, par exemple :

  • KAV.6.0.4.1212a_01.19_13.59_880.GUI.log
  • KAV.6.0.4.1212a_01.19_13.59_576.SRV.log
  • KAV.6.0.4.1212a_01.19_13.59_404.HST.log

Un fichier de traçage est composé d’enregistrements ayant l’aspect suivant :
16:43:21.643 0d0 IMP http Performing preprocessing on ‘http://www.eicar.org/download/eicar.com’...

Où :

  • 16:43:21.643 est l’horodatage
  • 0d0 est l’identifiant (PID) du processus ou du fil d’exécution (thread) ayant exécuté l’action
  • IMP est le niveau d’action, dans le cas présent Important (400)
  • http est le code du module ayant exécuté l’action, dans le cas présent le gestionnaire du protocole HTTP
  • Performing preprocessing on ‘http://www.eicar.org/download/eicar.com’... est l’action elle—même

Les niveaux d’action sont :

  • ALW : Critique (100)
  • DNG : Élevé (200)
  • ERR : Diagnostic (300)
  • IMP : Important (400)
  • NTF : Normal (500)
  • NOI : Bas (600)

Niveaux de traçage et niveaux d’action sont liés comme suit : Pour un niveau de traçage donné, toutes les actions ayant un niveau égal ou inférieur sont journalisées. Par exemple, si le niveau de traçage est Important (400), le journal contient les enregistrements ALW, DNG, ERR et IMP.