Inhalt und Eigenschaften der syslog-Nachrichten im Format CEF

Die Informationen über jedes erkannte Ereignis werden als separate UTF-8-kodierte syslog-Nachricht im Format CEF übermittelt.

Die Nachricht im Format CEF besteht aus dem Textkörper und dem Header. In jeder syslog-Nachricht werden folgende Felder, die durch die Parameter des syslog-Protokolls im Betriebssystem festgelegt werden, übermittelt:

• Datum und Zeit des Ereignisses;
• Hostname, bei dem das Ereignis eingetreten ist;
• App-Name (hat immer den Wert KSMG)

Durch App-Einstellungen festgelegte Felder einer syslog-Nachricht über ein Ereignis liegen im Format <Schlüssel>="<Wert>" vor. Wenn ein Schlüssel mehrere Werte besitzt, sind diese Werte mit Komma getrennt anzugeben. Als Trennzeichen zwischen den Schlüsseln wird ein Doppelpunkt benutzt.

Die Schlüssel sowie deren Werte, die in der Nachricht enthalten sind, hängen von der Ereignisklasse ab.

Beispiel: July 16 10:34:23 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.0.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

Die maximale Größe der syslog-Nachricht über das erkannte Ereignis ist abhängig von den Werten der syslog-Einstellungen auf dem Server, auf dem Kaspersky Secure Mail Gateway installiert ist. Sie können die Übermittlung von syslog-Nachrichten nur an einen einzigen externen syslog-Server auf einmal anpassen.

Nach oben