Contenu des messages syslog sur les événements de traitement du trafic
13 décembre 2023
ID 179953
Chaque message syslog transmet les champs suivants définis par les paramètres du protocole Syslog dans le système d'exploitation :
- date et heure de l'événement ;
- nom de l'hôte sur lequel l'événement est survenu ;
- nom de l'application (a toujours la valeur
KWTS
).
Les champs du message syslog sur l'événement de traitement du trafic définis par les paramètres de l'application sont présentés au format <clé> = "<valeur">
. Si la clé possède plusieurs valeurs, ces valeurs sont séparées par une virgule. Le deux-points sert de séparateur entre les clés.
Exemple :
|
Les clés ainsi que leurs valeurs se trouvant dans le message figurent dans le tableau plus bas.
Informations sur les événements de traitement du trafic dans le message syslog
Clé | Description et valeurs possibles |
---|---|
| Type de message HTTP. Peut accepter les valeurs |
| Méthode de requête HTTP. |
| Action sur l'objet détecté. Peut prendre l'une des valeurs suivantes :
|
| Le nom de la règle de traitement du trafic selon laquelle la ressource Internet a été bloquée. Il s'affiche dans le format suivant :
|
| Nom de la règle de traitement du trafic selon laquelle l'utilisateur a été redirigé vers l'URL indiquée. Il s'affiche dans le format suivant :
|
| Temps de traitement des messages HTTP en millisecondes. Le temps écoulé entre le début du traitement de l'en-tête du message HTTP et la sauvegarde de l'entrée sur l'analyse effectuée dans le journal des événements de l'application et dans le journal des événements Syslog est pris en considération. |
| Résultat de l'analyse du message HTTP. Si plus d'une menace est détectée, le nom de la menace est s'affiche avec la priorité la plus élevée. Si les menaces sont éliminées ou non détectées, le résultat de l'analyse s'affiche avec la priorité la plus élevée (Désinfecté, Non détecté, Non vérifié). |
| Nom de l'espace de travail auquel se rapporte l'événement de traitement du trafic. S'il n'y a pas d'espace de travail, un tiret s'affiche. |
| Le nom du compte utilisateur qui a lancé la requête HTTP. |
| Application client à l'origine de la requête HTTP. |
| Adresse IP de l'ordinateur à l'origine de l'envoi de la requête HTTP. |
| Adresse URL de la ressource Internet à laquelle l'accès a été demandé par l'utilisateur. |
| Résultat de l'analyse de la conformité de l'URL avec les objets détectés par l'application KATA. Vous avez le choix entre :
|
Les informations relatives à tous les composants sont indiquées pour l'objet de type MIME multipart. Pour chaque composant, la clé Par exemple, | |
| Nom de l'objet analysé. Si le message HTTP ne contient pas d'objets, la valeur |
| Taille de l'objet analysé.
|
| Type MIME du composant de l'objet multipart. La valeur de l'en-tête Content-Type est utilisée.
|
| Résultat de la vérification de l'objet pour la nécessité de l'envoyer au serveur KATA. Vous avez le choix entre :
|
| Identifiant attribué à l'objet par l'application. L'identifiant n'est transmis que si l'un des états suivants a été attribué lors de l'analyse de la nécessité de l'envoi au serveur KATA :
Pour les autres états, le champ |
| Les noms des règles de traitement du trafic appliquées dans le format suivant :
Si la règle ne s'applique pas à l'espace de travail, un tiret s'affiche à la place du nom de l'espace de travail. Si la règle n'appartient pas au groupe de règles, un tiret s'affiche à la place du nom du groupe. Si aucune règle de traitement du trafic n'a été appliquée, la stratégie de protection par défaut s'applique. La valeur |
| Résultats de l'analyse de la ressource Internet par le module Antivirus. Vous avez le choix entre :
|
| Résultats de l'analyse de la ressource Internet par le module Antiphishing. Vous avez le choix entre :
|
| Résultats de l'analyse des liens à la recherche d'objets malveillants. Vous avez le choix entre :
|
| Informations sur le chiffrement de l'objet analysé. Vous avez le choix entre :
|
| Informations sur la présence de macros dans l'objet analysé. Vous avez le choix entre :
|
| Résultat de l'analyse de la conformité du fichier contenu dans le message HTTP ou du composant (pour les objets multipart) avec les objets détectés par l'application KATA. Vous avez le choix entre :
|