應用程式使用者活動日誌中的記錄

Sandbox 使用者活動日誌中的記錄具有 CEF 格式（CEF 訊息）。透過檢視日誌記錄，您可以了解由於使用者操作而發生的事件。

安裝虛擬機映像的記錄範例：

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform (Sandbox)|7.1.0.530|vm|Managing virtual machines|Low| dvs=<IP> deviceExternalId=ubuntu-server eventId=1965096788380487496 rt=Apr 25 2025 04:59:16 src=<IP> suser=admin cs1=installing the default image cs1label=CentOS7_x64-1.0.0.19888

上面的範例包含三組欄位：

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform (Sandbox)|7.1.0.530|vm|Managing virtual machines|Low| — 標題欄位。
dvs= deviceExternalId=ubuntu-server eventId=1965096788380487496 rt=Apr 25 2025 04:59:16 src= suser=admin cs1=installing the default image — 所有記錄共有的 CEF 訊息本文欄位。
cs1label=CentOS7_x64-1.0.0.19888 — 特定於具有物件的操作的欄位。例如，“安裝虛擬機映像”操作的物件是一個虛擬機映像，而“cs1label”欄位包含這個映像的名稱。

標題欄位

每個訊息的標題包含以下資訊：

格式化版本。
目前版本號：0。目前欄位值：CEF:0。
供應商。
目前欄位值：AO Kaspersky Lab。
應用程式名稱。
目前欄位值：Kaspersky Anti Targeted Attack Platform。
應用程式版本
目前欄位值：7.1.1.531。
事件類型。
可以包含以下值之一：
- user_account
  與 Sandbox 使用者帳戶相關的事件。
- settings
  與 Sandbox 設定相關的事件。
- kata
  與 Sandbox 和 Central Node 之間的連線相關的事件。
- vm
  與 Sandbox 中部署的作業系統虛擬映像相關的事件。
標題中指定的事件名稱。
可以包含以下值之一：
- 管理使用者帳戶
  對使用者帳戶的操作。屬於“user_account”類型。
- 授權嘗試失敗次數已超出
  授權嘗試失敗次數超出限制。屬於“user_account”類型。
- 設定
  編輯 Sandbox 伺服器設定屬於“設定”類型。
- 配置與 KATA Central Node 的整合
  配置與 Central Node 的整合。屬於“kata”類型。
- 管理虛擬機
  使用虛擬機的操作。屬於“vm”類型。
事件重要性。
目前欄位值：低。

所有事件通用的欄位

CEF 訊息的欄位具有“<金鑰>=<值>”格式。每個 CEF 訊息包含以下欄位：

dvs
Sandbox 伺服器的 IP 位址。
裝置外部 ID
Sandbox 伺服器名稱。
eventId
事件 ID。
rt
事件日期和時間。
src
執行操作的使用者的 IP 位址。
suser
執行操作的使用者的名稱。
cs1
事件（見下表）。

事件的特殊欄位

事件和特殊欄位

cs1 欄位中指定的事件	特殊事件欄位

管理使用者帳戶
`變更管理員密碼`	`cs1label` 密碼被變更的使用者的名稱。
`登入`	`cs1label` 授權的使用者的名稱。
`登出`	`cs1label` 結束工作階段的使用者的姓名。
授權嘗試失敗次數已超出
`授權嘗試失敗的次數`	`cs1label` 授權嘗試失敗所涉及的使用者名稱。 `cn1` 授權嘗試失敗的次數。
設定
`指派 DNS 伺服器使用的伺服器名稱` `配置 DNS 設定` `設定管理介面的設定` `配置已處理物件進行網際網路存取的網路介面的設定` `配置路由設定` `設定代理伺服器連線設定` `配置伺服器上的日期和時間` `配置伺服器上的時區` `配置與 NTP 伺服器的同步`	`cs1label` 已變更設定的伺服器的名稱。
`儲存配置` `還原配置`	`cs1label` 已儲存或還原設定的伺服器的名稱。
`重新啟動伺服器` `關閉伺服器`	`cs1label` 重新啟動或關閉的伺服器的名稱。
`下載記錄` `下載使用者操作日誌`	`cs1label` 下載日誌檔案的伺服器的名稱。
`選擇資料庫更新來源` `手動更新資料庫`	`cs1label` 更新防毒資料庫或變更資料庫更新來源的伺服器的名稱。
`設定虛擬機的最大數量`	`cs1label` 指定的虛擬機數量。
`啟用授權嘗試失敗次數計數` `停用授權嘗試失敗次數計數`	`cs1label` 啟用或停用授權嘗試失敗次數計數的伺服器的名稱。
`修改授權嘗試失敗次數的計數週期`	`cs1label` 變更授權嘗試失敗次數計數週期的伺服器的名稱。 `cn1` 計算授權嘗試失敗次數的分鐘數。
`變更使用者工作階段鎖定時間`	`cs1label` 變更了使用者不活動最長持續時間的伺服器的名稱。 `cn1` 非活動使用者工作階段的最長持續時間（分鐘）。
配置與 KATA Central Node 的整合
`接受與 KATA Central Node 的連線` `拒絕與 KATA Central Node 的連線` `刪除與 KATA Central Node 的連線`	`cs1label` 發起連線請求的 Central Node 的指紋。
管理虛擬機
`匯入預設映像` `刪除預設映像` `解壓縮預設映像`	`cs1label` 正在上傳或刪除的虛擬機映像檔案的名稱。
`安裝預設映像` `刪除從預設映像部署的虛擬機` `取消預設映像安裝`	`cs1label` 已部署、刪除或取消安裝的虛擬機映像的名稱。
`上傳 ISO` `刪除 ISO`	`cs1label` 已上傳或刪除的 ISO 映像的名稱。
`建立自訂範本` `匯入自訂範本` `匯出自訂範本` `啟用自訂範本` `停用自訂範本` `停止自訂範本` `刪除自訂範本`	`cs1label` 已建立、匯入、匯出、啟用、停用、停止或刪除的自訂虛擬機範本的名稱。
`下載 manifest 檔案` `上傳調試符號`	沒有特殊欄位。
`將 ISO 掛載到自訂範本` `從自訂範本卸載 ISO`	`cs1label` 掛載了 ISO 映像或卸載了 ISO 映像的自訂虛擬機範本的名稱。 `cs2label` 已掛載或解除安裝的 ISO 映像的名稱。
`從自訂範本建立自訂虛擬機` `刪除自訂虛擬機` `將自訂虛擬機狀態變更為“線上”` `將自訂虛擬機狀態變更為“已啟用”`	`cs1label` 從自訂映像部署、已刪除或狀態已變更的虛擬機的名稱。

如果同時對超過 30 個物件執行某項操作，則僅記錄該操作的一項。該條目包括有關操作的資訊以及執行該操作的物件的數量。

頁面頂部